Los investigadores de Microsoft han identificado un nuevo troyano de acceso remoto (rata) llamado Stilachirat, diseñado para robar datos de billetera de criptomonedas, credenciales e información del sistema mientras mantiene el acceso persistente a dispositivos comprometidos, la compañía divulgada el 17 de marzo.
El malware, detectado por primera vez en noviembre de 2024, emplea técnicas de sigilo y medidas anti-forenses para evadir la detección.
Si bien Microsoft aún no ha atribuido a Stilachirat a un actor de amenazas conocido, los expertos en seguridad advierten que sus capacidades podrían representar un riesgo significativo de seguridad cibernética, particularmente para los usuarios que manejan criptografía.
Amenaza sofisticada
Stilachirat es capaz de escanear y extraer datos de 20 extensiones de billetera de criptomonedas diferentes en Google Chrome, incluidas Metamask, Trust Wallet y Coinbase Wallet, lo que permite a los atacantes acceder a fondos almacenados.
Además, el malware descifra contraseñas de Chrome, monitorea la actividad del portapapeles para datos financieros confidenciales y establece conexiones remotas de comando y control (C2) a través de los puertos TCP 53, 443 y 16000 para ejecutar comandos en máquinas infectadas.
La RAT también monitorea las sesiones activas del protocolo de escritorio remoto (RDP), se hace pasar por los usuarios al duplicar los tokens de seguridad y permite el movimiento lateral en las redes, una característica especialmente peligrosa para los entornos empresariales.
Los mecanismos de persistencia incluyen modificar la configuración del servicio de Windows y el lanzamiento de los hilos de vigilancia para restablecer si se elimina.
Para evadir aún más la detección, Stilachirat borra los registros de eventos del sistema, disfraza las llamadas de la API y retrasa su conexión inicial con los servidores C2 por dos horas. También busca herramientas de análisis como tcpview.exe y detiene la ejecución si están presentes, lo que dificulta el análisis forense.
Estrategias y respuesta de mitigación
Microsoft aconsejó a los usuarios que descarguen software solo de fuentes oficiales, ya que el malware como Stilachirat puede disfrazarse de aplicaciones legítimas.
La compañía también recomendó habilitar la protección de la red en el defensor de Microsoft para el punto final y la activación de enlaces seguros y accesorios seguros en Microsoft 365 para proteger contra la distribución de malware basada en el phishing.
Microsoft Defender XDR se ha actualizado para detectar la actividad de Stilachirat. Se insta a los profesionales de seguridad a monitorear el tráfico de red para conexiones inusuales, inspeccionar las modificaciones del sistema y rastrear las instalaciones de servicios no autorizadas que podrían indicar una infección.
Si bien Microsoft no ha observado una distribución generalizada de Stilachirat, la compañía advirtió que los actores de amenaza frecuentemente evolucionan su malware para evitar medidas de seguridad. Microsoft dijo que continúa monitoreando la amenaza y proporcionará más actualizaciones a través de su blog de inteligencia de amenazas.
Mencionado en este artículo
