Chrome больше не защитит вашу крипту - и вот почему
Миллионы людей продолжают использовать расширения в браузере Chrome для хранения криптовалют, не подозревая, что их активы находятся в опасности
03.04.2025
796
11 мин
0
В ноябре 2024 года исследовательский отдел Microsoft (Threat Intelligence) обнаружил новый троян удаленного доступа (RAT) под названием StilachiRAT. На текущий момент он является самым совершенным вирусным ПО, которое выполняет обширную разведку пользовательского устройства. Помимо полной информации об операционной системе, серийных номерах BIOS, активных сеансах удаленного доступа (RDP) и устройствах ввода/вывода, троян нацеливается на браузер Chrome, поскольку он хранит наиболее важные пользовательские данные.
StilachiRAT отслеживает активность 20 наиболее популярных расширений в Chrome для управления криптоактивами, таких как: MetaMask, Coinbase, Fractal, Fantom и других. Также вирус получает доступ к буферу обмена и другим запущенным приложениям для поиска закрытых ключей.
В Microsoft Threat Intelligence отмечают, что функционал StilachiRAT делают вирус серьезной проблемой кибербезопасности. GetBlock AML Research публикует рекомендации, придерживаясь которых можно увеличить безопасность своих активов.
Как внедряется StilachiRAT
У хакеров есть множество способов, с помощью которых вредоносный код внедряется в устройства потенциальных жертв:
- Фишинг. Спам, содержащий вредоносное ПО, активно распространяется не только через электронную почту, а и через мессенджеры и социальные сети. Хакеры часто маскируют вирусы под фотографии и другие медиафайлы;
- Поддельные расширения. Загрузка расширений для браузера из ненадежных источников с высокой вероятностью заканчивается заражением устройства, поскольку в интернете активно распространяются поддельные расширения с вредоносным кодом;
- Загрузка пиратского ПО. Во взломанном программном обеспечении часто присутствует вредоносный код;
- Атаки на RPD. Хакеры регулярно проводят атаки на узлы удаленного доступа, чтобы получить несанкционированный доступ к устройствам пользователей и внедрить в них вредоносный код;
- USB-дропперы. Злоумышленники научились распространять зараженные USB-накопители, которые при контакте с устройством заражают его вирусами;
- Скрытые загрузки. При посещении опасных сайтов в устройство пользователя внедряется вредоносный код, который хакеры встраивают в исходный код сайта;
- Поддельные приложения. В интернете активно распространяются фейковые копии популярных приложений, который содержат вирусы.
Что происходит дальше
После получения доступа к устройству и браузеру Chrome троян анализирует систему на наличие установленных криптовалютных кошельков. Делается это при помощи изучения файла \SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings.
Ниже приведена таблица расширений, которые способен обнаруживать StilachiRAT.
|
Название расширения |
Внутренний идентификатор расширения |
|
Bitget Wallet (ранее BitKeep) |
jiidiaalihmmhddjgbnbgdfflelocpak |
|
Trust Wallet |
egjidjbpglichdcondbcbdnbeeppgdph |
|
TronLink |
ibnejdfjmmkpcnlpebklmnkoeoihofec |
|
MetaMask |
nkbihfbeogaeaoehlefnkodbefgpgknn |
|
TokenPocket |
mfgccjchihfkkindfppnaooecgfneiii |
|
BNB Chain Wallet |
fhbohimaelbohpjbbldcngcnapndodjp |
|
OKX Wallet |
mcohilncbfahbmgdjkbpemcciiolgcge |
|
Sui Wallet |
opcgpfmipidbgpenhmajoajpbobppdil |
|
Braavos – Starknet Wallet |
jnlgamecbpmbajjfhmmmlhejkemejdma |
|
Coinbase Wallet |
hnfanknocfeofbddgcijnmhnfnkdnaad |
|
Leap Cosmos Wallet |
fcfcfllfndlomdhbehjjcoimbgofdncg |
|
Manta Wallet |
enabgbdfcbaehmbigakijjabdpdnimlg |
|
Keplr |
dmkamcknogkgcdfhhbddcghachkejeap |
|
Phantom |
bfnaelmomeimhlpmgjnjophhpkkoljpa |
|
Compass Wallet for Sei |
anokgmphncpekkhclmingpimjmcooifb |
|
Math Wallet |
afbcbjpbpfadlkmhmclhkeeodmamcflc |
|
Fractal Wallet |
agechnindjilpccclelhlbjphbgnobpf |
|
Station Wallet |
aiifbnbfobpmeekipheeijimdpnlpgpp |
|
ConfluxPortal |
bjiiiblnpkonoiegdlifcciokocjbhkd |
|
Plug |
cfbfdhimifdmdehjmkdobpcjfefblkjm |
StilachiRAT получает доступ ко всем внутренним файлам браузера, включая расширения. Вирус при
помощи Windows API расшифровывает ключ шифрования Chrome, который генерируется при установке браузера. В итоге троян получает доступ к директории
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data, где хранятся пользовательские данные, включая пароли и закрытые ключи.
Как надежно хранить криптовалюту. Выбираем лучшие криптокошельки 2025 года
Подробно разбираем все типы криптовалютных кошельков, а также выбираем лучшие хранилища для цифровых активов, исходя из потребностей каждого отдельного пользователя
Структура трояна
StilachiRAT создан на клиент-серверной архитектуре и управляется удаленно. Хакеры имеют возможность брать под полный контроль зараженное устройство, перезагружать его, запускать любые приложений, работать с командной строкой, изменять реестр Windows и т.д. В клиент трояна встроены два серверных IP-адреса, которые зашифрованы. Для настройки соединения с сервером вирус использует порты TCP: 53, 443 и 16000. После первичного заражения устройства StilachiRAT ждет два часа, прежде чем впервые соединиться с сервером и сообщить об удачной атаке. Это сделано для того, чтобы усложнить выявление трояна антивирусными системами.
StilachiRAT отслеживает сеансы удаленного доступа (RDP), чтобы получить доступ к другим устройствам и передать им вредоносный код. Для этого вирус маскируется под учетную запись уже зараженного пользователя, копируя токены безопасности Windows Explorer.
Непрерывный сбор данных
Алгоритм сбора данных StilachiRAT создан таким образом, чтобы злоумышленники могли отслеживать все действия, которые пользователь выполняет на устройстве. Хакерам передаются логи об установке и удалении ПО, о работе приложений, об активных окнах и сеансах вместе с их заголовками и путями к исполняемым файлам.
StilachiRAT регулярно отслеживает буфер обмена, используя шаблоны для поиска паролей и криптографических ключей. Вирус способен не только передавать эту информацию на сервер злоумышленников, а и подменять ее в реальном времени.
Маскировка
StilachiRAT способен маскироваться под исполнительные файлы (EXE), библиотеки динамической компоновки (DLL) и даже службы Windows. В случае с последними, троян воссоздает зараженную копию службы, вносит соответствующие изменения в реестр и перезапускает ее.
StilachiRAT удаляет журналы событий и в реальном времени отслеживает наличие исследовательских потоков по обнаружению вредоносного кода. С помощью специального алгоритма троян замедляет работу устройства и антивирусных систем.
Признаки заражения
Определить заражение устройства трояном StilachiRAT можно по следующим признакам:
- Проблемы в работе ОС. Операционная система работает медленнее, чем обычно, часто перезагружается или зависает;
- Активность учетных записей. Подозрительные попытки входа в ваши аккаунты или смена паролей, которую вы не инициировали;
- Высокая сетевая активность. StilachiRAT активно использует сетевые узлы для связи с сервером и обнаружения других потенциальных жертв, поэтому может наблюдаться замедление работы сети;
- Несанкционированные изменения. Обнаружение сторонних приложений и необъяснимые изменение настроек;
- Манипуляции с данными. Замена пользовательских файлов или данных в буфере обмена.
Как удалить StilachiRAT с устройства
Шаг №1. Отключите интернет-соединение, чтобы троян потерял связь с сервером. Это позволит прервать передачу данных злоумышленникам и возможность передачи команд вирусу.
Шаг №2. Используйте антивирусное программное обеспечение, чтобы запустить полное и глубокое сканирование устройства.
Шаг №3. Удалите с устройства все подозрительные программы и приложения, включая расширения в браузерах.
Шаг №4. Выполните восстановление системы до момента, когда устройство было скомпрометировано и появились явные признаки заражения.
Полезный материал?
Расследования
Один и тот же криптовалютный адрес получил две полностью противоположные оценки от разных аналитических систем: от обычного сервиса азартных игр до крайне тяжкого уголовного преступления. Эта история стала поводом для обсуждения того, какими должны быть научные стандарты анализа блокчейна и почему ошибки в подобных системах способны повлиять на судьбы людей
1 июл. 2026 г.
Расследования
Блокчейн помог выявить связи между криптовалютными сборами средств, обменниками в Сирии и посредниками в нескольких странах мира. Обнаружена характерная схема, при которой одни и те же адреса использовались сразу в нескольких кампаниях по сбору пожертвований
24 июн. 2026 г.
Расследования
Четыре иранские криптовалютные биржи обеспечивали около 78% всего объема цифровых активов, связанных со страной в 2025 году. Теперь они оказались в центре крупнейшей санкционной кампании США против криптовалютной инфраструктуры Ирана.
5 июн. 2026 г.
Расследования
На публичных блокчейнах уже работает финансовая система с кредитами, аналогами облигаций США и автоматическими рынками капитала. Через DeFi-протоколы прошло более $551 млрд, но большая часть этой активности связана не с экономикой, а со спекулятивным наращиванием рисков
29 мая 2026 г.
Расследования
Около 97% китайских поставщиков химических веществ для производства фентанила принимают оплату в криптовалюте. Объем таких операций продолжает расти вместе с глобальным рынком синтетических наркотиков
22 мая 2026 г.
Расследования
Новый закон впервые делает блокчейн-аналитику официальным обязательным инструментом финансового контроля в США. Власти также получат право ограничивать операции с иностранными криптосервисами, связанными с рисками отмывания денег
20 мая 2026 г.