微軟近日發出警告，提醒用戶注意一種名為StilachiRAT的新型遠程訪問木馬（RAT）。微軟指出，該木馬采用了高級技術來規避檢測，并在目標環境中長期潛伏，其主要目的是竊取敏感數據。

微軟事件響應團隊在一份分析報告中表示，該惡意軟件具備從目標系統中竊取信息的能力，包括瀏覽器中存儲的憑證、數字錢包信息、剪貼板中的數據以及系統信息。

微軟稱，StilachiRAT于2024年11月被發現，其RAT功能存在于名為“WWStartupCtrl64.dll”的DLL模塊中。目前尚不清楚該木馬的傳播方式，但微軟指出，此類木馬可以通過多種初始訪問途徑安裝，因此組織采取足夠的安全措施至關重要。

StilachiRAT的竊密機制

StilachiRAT設計用于收集廣泛的系統信息，包括操作系統（OS）詳情、BIOS序列號等硬件標識符、攝像頭狀態、活動遠程桌面協議（RDP）會話以及運行的圖形用戶界面（GUI）應用程序。這些信息通過基于組件的對象模型（COM）和企業級基于Web的管理（WBEM）接口，使用WMI查詢語言（WQL）進行收集。

此外，StilachiRAT還針對Google Chrome瀏覽器中安裝的一系列加密貨幣錢包擴展程序進行攻擊。其目標列表包括Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal以及Plug。

StilachiRAT還會提取Chrome瀏覽器中存儲的憑證，定期收集剪貼板內容（如密碼和加密貨幣錢包），通過捕獲前臺窗口信息來監控RDP會話，并與遠程服務器建立聯系以竊取收集到的數據。

命令與控制（C2）功能

StilachiRAT的命令與控制（C2）服務器通信是雙向的，允許惡意軟件執行其發送的指令。這些功能表明，StilachiRAT既可用于間諜活動，也可用于系統操控。它支持多達10種不同的命令，包括：

• 07 – 顯示一個對話框，并渲染來自指定URL的HTML內容
• 08 - 清除事件日志條目
• 09 - 使用未公開的Windows API（"ntdll.dll!NtShutdownSystem"）啟用系統關機
• 13 - 從C2服務器接收網絡地址并建立新的出站連接
• 14 - 在指定的TCP端口上接受入站網絡連接
• 15 - 終止已打開的網絡連接
• 16 - 啟動指定應用程序
• 19 - 枚舉當前桌面上所有打開的窗口，以搜索指定的標題欄文本
• 26 - 將系統置于掛起（睡眠）狀態或休眠狀態
• 30 - 竊取Google Chrome密碼

微軟表示：“StilachiRAT通過清除事件日志并檢查某些系統條件來規避檢測，顯示出反取證行為。這包括循環檢查分析工具和沙盒計時器，以防止其在常用于惡意軟件分析的虛擬機環境中完全激活。”

其他惡意軟件樣本的發現

此次披露恰逢Palo Alto Networks Unit 42團隊詳細介紹了去年檢測到的三種異常惡意軟件樣本，包括：

• 一種用C++/CLI開發的被動互聯網信息服務（IIS）后門，具備解析特定HTTP請求并執行其中命令的能力，可以運行命令、獲取系統元數據、創建新進程、執行PowerShell代碼以及將shellcode注入正在運行或新的進程。
• 一種使用未經驗證的內核驅動程序安裝GRUB 2引導加載程序的Bootkit。該Bootkit被認為是由密西西比大學的未知方創建的概念驗證（PoC）。當系統重啟時，GRUB 2引導加載程序會顯示一張圖片，并通過PC揚聲器定期播放《Dixie》，這種行為表明該惡意軟件可能是一種惡作劇。
• 一種用C++開發的跨平臺后利用框架的Windows植入程序。

這些發現進一步凸顯了網絡安全威脅的多樣性和復雜性，提醒安全研究人員和組織保持警惕，及時更新安全防護措施。