微软安全团队发现了一种名为StilachiRAT的新型远程访问木马，该恶意软件利用高级技术逃避检测，维持持久性并窃取敏感数据。尽管目前传播范围有限，微软仍提前公开威胁指标与防御建议。该木马会扫描多种加密货币钱包扩展，获取数字钱包数据，还会提取Chrome浏览器保存的凭证，监控剪贴板中的密码和加密货币密钥，记录系统硬件信息及活跃的远程桌面协议会话。StilachiRAT通过收集摄像头状态、GUI应用运行情况构建目标系统画像，并克隆用户安全令牌伪装登录身份，突破RDP服务器的管理员会话限制，在受害网络内横向渗透。该木马以独立进程或Windows服务形式部署，绑定Windows服务控制管理器持久化，利用“看门狗线程”监控自身进程，若被终止将自动重建。

🔑StilachiRAT木马的主要目标是窃取敏感数据，包括扫描Coinbase、Metamask等20种加密货币钱包扩展，获取数字钱包数据，以及提取Chrome浏览器保存的凭证。

🛡️该木马具备高级逃避检测和维持持久性的能力。它通过绑定Windows服务控制管理器（SCM）实现持久化，并利用“看门狗线程”监控自身进程，一旦被终止就会自动重建。

🖥️StilachiRAT能够收集目标系统的详细信息，包括摄像头状态、GUI应用运行情况、系统硬件信息及活跃的远程桌面协议（RDP）会话，从而构建目标系统画像以定位高价值攻击目标。

🔓该木马还可以通过克隆用户安全令牌伪装登录身份，突破RDP服务器的管理员会话限制，实现在受害网络内的横向渗透。

科技媒体 bleepingcomputer 昨日（3 月 17 日）发布博文，报道称微软安全团队最新发现一种名为 StilachiRAT 的新型远程访问木马（RAT），该恶意软件通过高级技术逃避检测、维持持久性并窃取敏感数据。

IT之家援引博文介绍，尽管当前传播范围有限，微软仍提前公开威胁指标与防御建议，协助网络安全人员降低潜在危害。目前尚未确认该恶意软件的幕后攻击者或地理来源。

StilachiRAT 木马通过 WWStartupCtrl64.dll 模块，扫描 Coinbase、Metamask 等 20 种加密货币钱包扩展，获取数字钱包数据。

此外，该木马还会提取 Chrome 浏览器保存的凭证，监控剪贴板中的密码和加密货币密钥，记录系统硬件信息及活跃的远程桌面协议（RDP）会话。

该木马会收集摄像头状态、GUI 应用运行情况，构建目标系统画像以定位高价值攻击目标，该木马还会通过克隆用户安全令牌伪装登录身份，可突破 RDP 服务器的管理员会话限制，在受害网络内横向渗透。

该木马以独立进程或 Windows 服务形式部署后，绑定 **Windows 服务控制管理器（SCM）** 持久化，利用“看门狗线程”监控自身进程，若被终止将自动重建。

---

转自IT之家，原文链接：https://www.ithome.com/0/838/701.htm

封面来源于网络，如有侵权请联系删除