Un nuovo pericoloso Remote Access Trojan (RAT) altamente sofisticato, denominato StilachiRAT, sta circolando con l’obiettivo di sottrarre credenziali, dati sensibili e criptovalute. Questo malware utilizza tecniche avanzate di evasione per rimanere inosservato, garantire la persistenza e permettere ai cybercriminali di operare indisturbati.

Un RAT su misura per lo spionaggio e il furto

Scoperto a novembre 2024 dai ricercatori di Microsoft Incident Response, StilachiRAT si distingue per la sua capacità di infiltrarsi nei sistemi target senza destare sospetti.

Tra le sue principali funzioni troviamo:

• Furto di credenziali: estrae informazioni sensibili salvate nei browser, inclusi i dati delle criptovalute.
• Monitoraggio dell’attività utente: raccoglie dati di sistema, rileva la presenza di telecamere, analizza sessioni RDP attive e le applicazioni in esecuzione.
• Attacco alle criptovalute: scansiona la configurazione di oltre 20 wallet digitali, tra cui Coinbase Wallet, Metamask e Trust Wallet.
• Persistenza e movimento laterale: sfrutta Windows Service Control Manager per rimanere attivo e persiste anche dopo tentativi di rimozione.

Attacco silenzioso e pericoloso

StilachiRAT non si limita a raccogliere informazioni, ma implementa anche funzionalità avanzate per evitare il rilevamento:

• Cancellazione dei log di sistema: elimina tracce dell’attacco per impedire indagini forensi.
• Evasione da sandbox: utilizza chiamate API offuscate per rendere l’analisi più complessa.
• Manipolazione delle finestre di sistema: monitora l’attività dell’utente per carpire password e dati sensibili direttamente dallo schermo.

Una volta insediato, StilachiRAT permette ai criminali di controllare il dispositivo infetto tramite comandi da un server C2. Questi comandi includono:

• Esecuzione di applicazioni malevole;
• Riavvio o sospensione del sistema;
• Modifica di chiavi di registro di Windows;
• Creazione di proxy per camuffare il traffico malevolo.

Difendersi è possibile

Sebbene Microsoft non abbia ancora attribuito StilachiRAT a un gruppo specifico, la sua pericolosità è evidente. Per ridurre il rischio di infezione, è essenziale adottare alcune contromisure:

• Scaricare software esclusivamente da fonti ufficiali;
• Utilizzare soluzioni di sicurezza avanzate che blocchino domini e allegati sospetti;
• Monitorare le sessioni RDP e implementare autenticazione a più fattori;
• Effettuare controlli di sicurezza regolari per individuare attività anomale.

Conclusione

Il panorama delle minacce informatiche non mostra segni di rallentamento e StilachiRAT ne è l’ennesima dimostrazione. Questo malware rappresenta un rischio concreto per aziende e utenti, con il suo focus su credenziali, criptovalute e accessi remoti. La difesa efficace passa attraverso la consapevolezza e l’adozione di misure di sicurezza mirate. L’informazione e la prevenzione sono le armi più potenti contro queste minacce in continua evoluzione.

L'articolo StilachiRAT: il malware fantasma che ruba credenziali e criptovalute senza lasciare traccia! proviene da il blog della sicurezza informatica.