La crescente preoccupazione per la sicurezza online si arricchisce di un nuovo capitolo con la scoperta di StilachiRAT, un trojan per accesso remoto in grado di infiltrarsi nei sistemi informatici e rubare varie tipologie di dati sensibili, dalle credenziali di accesso alle informazioni sui portafogli di criptovalute, fino ai dettagli del sistema operativo. Affecting both individual users and organizations, this malware possesses alarming capabilities including self-reinstalling efforts, creando una necessità urgente di strategia di protezione informatica.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di notizie personalizzato
Seguici ora
Indice dei contenuti
Caratteristiche di StilachiRAT
StilachiRAT si distingue per la sua abilità di utilizzare i thread di watchdog, permettendogli di ripristinarsi autonomamente in caso di rimozione. Questa caratteristica lo rende particolarmente insidioso, poiché in grado di rigenerarsi senza l’intervento dell’utente. Secondo quanto riportato da BleepingComputer, il malware è progettato per estrarre dati da numerosi portafogli di criptovaluta, come Coinbase Wallet, Phantom, Trust Wallet, Metamask e molti altri, arrivando a oltre 20 varianti.
Oltre alla raccolta di dati finanziari, StilachiRAT dimostra capacità di ricognizione avanzate, rubando informazioni delicate da un computer infettato. Tra i dati intercettati ci sono le credenziali memorizzate nel browser, le informazioni negli appunti, dettagli relativi al sistema e anche la presenza della fotocamera. Utilizzando API di Windows, il malware può estrarre credenziali dal file di stato locale di Google Chrome, monitorando l’attività degli appunti per password e chiavi delle criptovalute.
Capacità di persistenza e evasione
Una delle vulnerabilità critiche di StilachiRAT riguarda la sua capacità di mantenere la persistenza nel sistema utilizzando il Windows Service Control Manager . Se avverte che i propri file binari non sono più attivi, il malware provvede automaticamente alla reinstallazione. Questo significa che anche se un utente tentasse di rimuovere il malware, StilachiRAT potrebbe ricomparire.
In aggiunta, il trojan è capace di monitorare le sessioni attive di Remote Desktop Protocol impersonando gli utenti già loggati. Questo avviene mediante la cattura delle informazioni dalle finestre in primo piano e la clonazione dei token di sicurezza, consentendo agli attaccanti di muoversi lateralmente attraverso la rete di un bersaglio dopo che il malware è stato implementato sui server RDP.
Tecniche di occultamento delle tracce
StilachiRAT è dotato di funzionalità avanzate di anti-forensics, il che significa che ha la capacità di cancellare i log degli eventi e verificare eventuali segni di esecuzione in un ambiente sandbox, bloccando tentativi di analisi del malware. In caso venga ingannato a operare in un sandbox, le chiamate API del RAT possono essere codificate per rallentare ulteriormente l’analisi da parte di specialisti di sicurezza.
Scoperto inizialmente nel novembre dell’anno scorso, Microsoft ha recentemente confermato che StilachiRAT non ha ancora raggiunto una distribuzione su larga scala. Tuttavia, non sono disponibili informazioni certe riguardo l’attore delle minacce o la sua provenienza.
Come proteggersi da StilachiRAT
Per evitare di cadere vittima di StilachiRAT, Microsoft suggerisce delle semplici ma efficaci precauzioni. È fondamentale scaricare software solo da fonti ufficiali e utilizzare programmi di sicurezza capaci di bloccare domini maligni e allegati truffaldini.
Installare un buon software antivirus sul proprio computer è essenziale, così come mantenerlo aggiornato. Gli utenti devono anche imparare a riconoscere i segni di attacchi di phishing, come nomi di dominio scritti in modo errato, firme email da mittenti sconosciuti e messaggi che creano urgenza o contengono minacce legali.
La raccomandazione è di non fare clic su link o allegati dall’origine dubbia e, in caso di incertezze, contattare il mittente attraverso un messaggio separato. Se un URL sembra sospetto, è preferibile digitare direttamente l’indirizzo nel browser anziché fare clic su un link. L’uso di una VPN può ulteriormente proteggere la privacy, così come l’adozione di un gestore di password per custodire in modo sicuro le credenziali.
Con l’emergere quotidiano di nuove minacce informatiche, adottare buone pratiche di igiene cibernetica e rimanere aggiornati sulle ultime metodologie d’attacco può contribuire a prevenire le potenziali insidie di StilachiRAT e di altri rischi online.
