Миллионы людей продолжают использовать расширения в браузере Chrome для хранения криптовалют, не подозревая, что их активы находятся в опасности

Chrome больше не защитит вашу крипту - и вот почему

03.04.2025

796

11 мин

В ноябре 2024 года исследовательский отдел Microsoft (Threat Intelligence) обнаружил новый троян удаленного доступа (RAT) под названием StilachiRAT. На текущий момент он является самым совершенным вирусным ПО, которое выполняет обширную разведку пользовательского устройства. Помимо полной информации об операционной системе, серийных номерах BIOS, активных сеансах удаленного доступа (RDP) и устройствах ввода/вывода, троян нацеливается на браузер Chrome, поскольку он хранит наиболее важные пользовательские данные.

StilachiRAT отслеживает активность 20 наиболее популярных расширений в Chrome для управления криптоактивами, таких как: MetaMask, Coinbase, Fractal, Fantom и других. Также вирус получает доступ к буферу обмена и другим запущенным приложениям для поиска закрытых ключей.

В Microsoft Threat Intelligence отмечают, что функционал StilachiRAT делают вирус серьезной проблемой кибербезопасности. GetBlock AML Research публикует рекомендации, придерживаясь которых можно увеличить безопасность своих активов.

Как внедряется StilachiRAT

У хакеров есть множество способов, с помощью которых вредоносный код внедряется в устройства потенциальных жертв:

  • Фишинг. Спам, содержащий вредоносное ПО, активно распространяется не только через электронную почту, а и через мессенджеры и социальные сети. Хакеры часто маскируют вирусы под фотографии и другие медиафайлы;
  • Поддельные расширения. Загрузка расширений для браузера из ненадежных источников с высокой вероятностью заканчивается заражением устройства, поскольку в интернете активно распространяются поддельные расширения с вредоносным кодом;
  • Загрузка пиратского ПО. Во взломанном программном обеспечении часто присутствует вредоносный код;
  • Атаки на RPD. Хакеры регулярно проводят атаки на узлы удаленного доступа, чтобы получить несанкционированный доступ к устройствам пользователей и внедрить в них вредоносный код;
  • USB-дропперы. Злоумышленники научились распространять зараженные USB-накопители, которые при контакте с устройством заражают его вирусами;
  • Скрытые загрузки. При посещении опасных сайтов в устройство пользователя внедряется вредоносный код, который хакеры встраивают в исходный код сайта;
  • Поддельные приложения. В интернете активно распространяются фейковые копии популярных приложений, который содержат вирусы.

Что происходит дальше

После получения доступа к устройству и браузеру Chrome троян анализирует систему на наличие установленных криптовалютных кошельков. Делается это при помощи изучения файла \SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings.

Ниже приведена таблица расширений, которые способен обнаруживать StilachiRAT.

Название расширения

Внутренний идентификатор расширения

Bitget Wallet (ранее BitKeep)

jiidiaalihmmhddjgbnbgdfflelocpak

Trust Wallet

egjidjbpglichdcondbcbdnbeeppgdph

TronLink

ibnejdfjmmkpcnlpebklmnkoeoihofec

MetaMask

nkbihfbeogaeaoehlefnkodbefgpgknn

TokenPocket

mfgccjchihfkkindfppnaooecgfneiii

BNB Chain Wallet

fhbohimaelbohpjbbldcngcnapndodjp

OKX Wallet

mcohilncbfahbmgdjkbpemcciiolgcge

Sui Wallet

opcgpfmipidbgpenhmajoajpbobppdil

Braavos – Starknet Wallet

jnlgamecbpmbajjfhmmmlhejkemejdma

Coinbase Wallet

hnfanknocfeofbddgcijnmhnfnkdnaad

Leap Cosmos Wallet

fcfcfllfndlomdhbehjjcoimbgofdncg

Manta Wallet

enabgbdfcbaehmbigakijjabdpdnimlg

Keplr

dmkamcknogkgcdfhhbddcghachkejeap

Phantom

bfnaelmomeimhlpmgjnjophhpkkoljpa

Compass Wallet for Sei

anokgmphncpekkhclmingpimjmcooifb

Math Wallet

afbcbjpbpfadlkmhmclhkeeodmamcflc

Fractal Wallet

agechnindjilpccclelhlbjphbgnobpf

Station Wallet

aiifbnbfobpmeekipheeijimdpnlpgpp

ConfluxPortal

bjiiiblnpkonoiegdlifcciokocjbhkd

Plug

cfbfdhimifdmdehjmkdobpcjfefblkjm

StilachiRAT получает доступ ко всем внутренним файлам браузера, включая расширения. Вирус при

помощи Windows API расшифровывает ключ шифрования Chrome, который генерируется при установке браузера. В итоге троян получает доступ к директории

%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data, где хранятся пользовательские данные, включая пароли и закрытые ключи.

Как надежно хранить криптовалюту. Выбираем лучшие криптокошельки 2024 года

Как надежно хранить криптовалюту. Выбираем лучшие криптокошельки 2025 года

Подробно разбираем все типы криптовалютных кошельков, а также выбираем лучшие хранилища для цифровых активов, исходя из потребностей каждого отдельного пользователя

Читать дальше

Структура трояна

StilachiRAT создан на клиент-серверной архитектуре и управляется удаленно. Хакеры имеют возможность брать под полный контроль зараженное устройство, перезагружать его, запускать любые приложений, работать с командной строкой, изменять реестр Windows и т.д. В клиент трояна встроены два серверных IP-адреса, которые зашифрованы. Для настройки соединения с сервером вирус использует порты TCP: 53, 443 и 16000. После первичного заражения устройства StilachiRAT ждет два часа, прежде чем впервые соединиться с сервером и сообщить об удачной атаке. Это сделано для того, чтобы усложнить выявление трояна антивирусными системами.

StilachiRAT отслеживает сеансы удаленного доступа (RDP), чтобы получить доступ к другим устройствам и передать им вредоносный код. Для этого вирус маскируется под учетную запись уже зараженного пользователя, копируя токены безопасности Windows Explorer.

Непрерывный сбор данных

Алгоритм сбора данных StilachiRAT создан таким образом, чтобы злоумышленники могли отслеживать все действия, которые пользователь выполняет на устройстве. Хакерам передаются логи об установке и удалении ПО, о работе приложений, об активных окнах и сеансах вместе с их заголовками и путями к исполняемым файлам.

StilachiRAT регулярно отслеживает буфер обмена, используя шаблоны для поиска паролей и криптографических ключей. Вирус способен не только передавать эту информацию на сервер злоумышленников, а и подменять ее в реальном времени.

Маскировка

StilachiRAT способен маскироваться под исполнительные файлы (EXE), библиотеки динамической компоновки (DLL) и даже службы Windows. В случае с последними, троян воссоздает зараженную копию службы, вносит соответствующие изменения в реестр и перезапускает ее.

StilachiRAT удаляет журналы событий и в реальном времени отслеживает наличие исследовательских потоков по обнаружению вредоносного кода. С помощью специального алгоритма троян замедляет работу устройства и антивирусных систем.

Признаки заражения

Определить заражение устройства трояном StilachiRAT можно по следующим признакам:

  • Проблемы в работе ОС. Операционная система работает медленнее, чем обычно, часто перезагружается или зависает;
  • Активность учетных записей. Подозрительные попытки входа в ваши аккаунты или смена паролей, которую вы не инициировали;
  • Высокая сетевая активность. StilachiRAT активно использует сетевые узлы для связи с сервером и обнаружения других потенциальных жертв, поэтому может наблюдаться замедление работы сети;
  • Несанкционированные изменения. Обнаружение сторонних приложений и необъяснимые изменение настроек;
  • Манипуляции с данными. Замена пользовательских файлов или данных в буфере обмена.

Как удалить StilachiRAT с устройства

Шаг №1. Отключите интернет-соединение, чтобы троян потерял связь с сервером. Это позволит прервать передачу данных злоумышленникам и возможность передачи команд вирусу.

Шаг №2. Используйте антивирусное программное обеспечение, чтобы запустить полное и глубокое сканирование устройства.

Шаг №3. Удалите с устройства все подозрительные программы и приложения, включая расширения в браузерах.

Шаг №4. Выполните восстановление системы до момента, когда устройство было скомпрометировано и появились явные признаки заражения.

Подписывайтесь на Getblock Magazine и будьте всегда в курсе последних новостей из мира криптовалют и цифровой экономики