StilachiRAT 恶意软件

通过Mezo在恶意软件, 远程管理工具

翻译为：

汉语

研究人员最近发现了 StilachiRAT，这是一种复杂的远程访问木马 (RAT)，它使用先进的规避技术在受感染的系统中持续存在。该恶意软件的主要目的是收集敏感信息，对个人和组织都构成严重威胁。

StilachiRAT 收集哪些内容

StilachiRAT 旨在从受感染的系统中收集各种数据。它的目标是以下信息：

存储在 Web 浏览器中的凭据
数字钱包详细信息
剪贴板内容，包括密码和加密货币钱包
系统信息，例如操作系统版本、BIOS 序列号、摄像头状态和活动应用程序

StilachiRAT 的运作方式

StilachiRAT 于 2024 年 11 月被发现，位于名为“WWStartupCtrl64.dll”的 DLL 模块内。虽然其确切的交付方式尚不清楚，但此 RAT 可以通过各种攻击媒介传播，凸显了强有力的安全措施的重要性。

一旦进入系统，StilachiRAT 就会执行广泛的系统侦察来收集有价值的信息，包括操作系统详细信息、活动的远程桌面协议 (RDP) 会话和硬件标识符（如 BIOS 序列号）。此外，它还明确针对 Google Chrome 浏览器中的加密货币钱包扩展程序，包括 MetaMask、Trust Wallet 和 Coinbase Wallet 等知名钱包。

通信与控制

StilachiRAT 与命令和控制 (C2) 服务器通信以发送和接收指令。通过这种双向通信，恶意软件可以执行各种命令，例如：

清除事件日志并终止网络连接
强制关闭系统或启动特定应用程序
监视和捕获 RDP 会话信息，包括窗口详细信息
窃取存储的 Google Chrome 密码和其他敏感数据

这些功能使 StilachiRAT 成为一种多功能的数据窃取和系统操纵工具。根据攻击者的目标，它可以启动多达 10 个不同的命令。

反取证措施

为了避免被发现，StilachiRAT 采用了各种反取证技术。这些技术包括清除事件日志、避开分析工具以及检测常用于恶意软件分析的虚拟环境。这样一来，网络安全团队就更难追踪和缓解其存在。

如何保护您的设备免受 RAT（远程访问木马）威胁

远程访问木马 (RAT) 是一种威胁性的恶意软件，它允许攻击者未经授权访问您的设备，从而收集敏感信息、监视您的活动并控制您的系统。保护您的设备免受此类威胁需要采取多种主动安全措施。以下是几种有助于防御 RAT 的策略：

保持软件和操作系统更新：确保定期更新操作系统、浏览器和应用程序。软件更新经常用于提供安全补丁，以解决 RAT 和其他恶意软件可能利用的漏洞。启用自动更新可最大限度地降低错过关键安全修复的风险。
使用强大而独特的密码：RAT 通常会收集存储在浏览器或数字钱包中的凭证。为了降低风险，请为每个帐户使用强大而独特的密码。使用密码管理器可以帮助您安全地生成和存储复杂的密码。应避免在多个帐户中使用相同的密码。
安装可靠的反恶意软件：全面的反恶意软件程序可以帮助检测并删除 RAT，防止其造成重大损害。定期分析系统中是否存在威胁，并确保反恶意软件拥有最新的病毒定义。
启用双重身份验证 (2FA) ：尽可能为您的在线账户启用双重身份验证 (2FA)，尤其是电子邮件、银行和加密货币钱包等敏感账户。即使 RAT 窃取了您的登录凭据，2FA 也会附加一层辅助保护，需要第二种验证形式。
小心电子邮件附件和链接：RAT 通常通过钓鱼电子邮件或欺诈链接传播。访问来自未知或可疑来源的电子邮件附件或链接时要格外小心。验证发件人的电子邮件地址，避免从不受信任的网站下载文件。
使用防火墙：防火墙可以帮助监控和控制传入和传出的网络流量。它可以阻止未经授权访问您的系统，防止攻击者控制您的设备或远程窃取数据。确保您的防火墙已激活并正确配置。

定期备份数据：如果 RAT 成功入侵您的系统，定期备份数据可以帮助您恢复重要文件。将备份存储在外部驱动器或云存储上，以确保在发生勒索软件攻击或系统入侵时您的信息是安全的。

如果不需要，请禁用远程桌面协议 (RDP) ：远程桌面协议 (RDP) 是 RAT 的常见攻击媒介。如果您不需要 RDP 来远程访问您的设备，请考虑完全禁用 RDP。如果它对您的工作至关重要，请确保使用强密码并仅限制对受信任 IP 地址的访问。

监控活动进程和网络活动：密切关注系统上的活动进程。如果您发现不熟悉的应用程序或高网络活动，请进一步调查以确保没有 RAT 在后台运行。类似于任务管理器（在 Windows 上）或活动监视器（在 macOS 上）的工具可以帮助识别可疑行为。

StilachiRAT 具有复杂的数据窃取能力、系统操纵功能和隐秘的操作方法，是重大的网络安全威胁。为了防御此类攻击，个人和组织都必须采取强有力的安全措施，并对新出现的威胁保持警惕。