科技媒体 bleepingcomputer 昨日(3 月 17 日)发布博文,报道称微软安全团队最新发现一种名为 StilachiRAT 的新型远程访问木马(RAT),该恶意软件通过高级技术逃避检测、维持持久性并窃取敏感数据。
IT之家援引博文介绍,尽管当前传播范围有限,微软仍提前公开威胁指标与防御建议,协助网络安全人员降低潜在危害。目前尚未确认该恶意软件的幕后攻击者或地理来源。
StilachiRAT 木马通过 WWStartupCtrl64.dll 模块,扫描 Coinbase、Metamask 等 20 种加密货币钱包扩展,获取数字钱包数据。
此外,该木马还会提取 Chrome 浏览器保存的凭证,监控剪贴板中的密码和加密货币密钥,记录系统硬件信息及活跃的远程桌面协议(RDP)会话。
该木马会收集摄像头状态、GUI 应用运行情况,构建目标系统画像以定位高价值攻击目标,该木马还会通过克隆用户安全令牌伪装登录身份,可突破 RDP 服务器的管理员会话限制,在受害网络内横向渗透。
该木马以独立进程或 Windows 服务形式部署后,绑定 **Windows 服务控制管理器(SCM)** 持久化,利用“看门狗线程”监控自身进程,若被终止将自动重建。
转自IT之家,原文链接:https://www.ithome.com/0/838/701.htm
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容