Microsoft meminta perhatian pada novel Remote Access Trojan (RAT) bernama Stilachirat Dikatakan menggunakan teknik canggih untuk menghindari deteksi dan bertahan dalam lingkungan target dengan tujuan utama untuk mencuri data sensitif.
Malware berisi kemampuan untuk “mencuri informasi dari sistem target, seperti kredensial yang disimpan di browser, informasi dompet digital, data yang disimpan di clipboard, serta informasi sistem,” kata tim respons insiden Microsoft dalam sebuah analisis.
Raksasa teknologi itu mengatakan bahwa mereka menemukan Stilachirat pada November 2024, dengan fitur -fitur tikusnya hadir dalam modul DLL bernama “WwStartupctrl64.dll.” Malware belum dikaitkan dengan aktor atau negara ancaman tertentu.
Saat ini tidak jelas bagaimana malware dikirimkan ke target, tetapi Microsoft mencatat bahwa Trojans tersebut dapat diinstal melalui berbagai rute akses awal, sehingga penting bagi organisasi untuk menerapkan langkah -langkah keamanan yang memadai.
Stilachirat dirancang untuk mengumpulkan informasi sistem yang luas, termasuk detail Sistem Operasi (OS), pengidentifikasi perangkat keras seperti nomor seri BIOS, keberadaan kamera, sesi protokol desktop jarak jauh aktif (RDP), dan menjalankan aplikasi antarmuka pengguna grafis (GUI).
Detail-detail ini dikumpulkan melalui antarmuka Component Object Model (COM) Web-Enterprise Management (WBEM) menggunakan WMI Query Language (WQL).
Ini juga direkayasa untuk menargetkan daftar ekstensi dompet cryptocurrency yang dipasang di dalam browser web Google Chrome. Daftar ini mencakup dompet bitget, dompet kepercayaan, tronlink, metamask, tokenpocket, dompet rantai BNB, dompet okx, dompet sui, dompet bravos, dompet pompa, dompet manta, kelrr, phantamp, dompet kompas untuk dompet, matematika dompet.
Selain itu, Stilachirat mengekstrak kredensial yang disimpan di browser Chrome, secara berkala mengumpulkan konten clipboard seperti kata sandi dan dompet cryptocurrency, memantau sesi RDP dengan menangkap informasi jendela latar depan, dan membuat kontak dengan server jarak jauh untuk mengekspresikan data yang dipanen.
Komunikasi server Command-and-Control (C2) adalah dua arah, memungkinkan malware untuk meluncurkan instruksi yang dikirim olehnya. Fitur menunjuk ke alat serbaguna untuk spionase dan manipulasi sistem. Sebanyak 10 perintah berbeda didukung –
- 07 – Tampilkan kotak dialog dengan konten HTML yang diberikan dari URL yang disediakan
- 08 – Hapus Entri Log Acara
- 09 – Aktifkan Shutdown Sistem Menggunakan Windows API yang tidak berdokumen (“ntdll.dll! Ntshutdownsystem”)
- 13 – Menerima alamat jaringan dari server C2 dan membuat koneksi keluar baru.
- 14 – Terima koneksi jaringan yang masuk pada port TCP yang disediakan
- 15 – Menghentikan koneksi jaringan terbuka
- 16 – Luncurkan aplikasi yang ditentukan
- 19 – Hitung semua jendela terbuka desktop saat ini untuk mencari teks bilah judul yang diminta
- 26 – Masukkan sistem ke dalam keadaan yang ditangguhkan (tidur) atau hibernasi
- 30 – Curi Kata Sandi Google Chrome
“Stilachirat menampilkan perilaku anti-forensik dengan membersihkan log peristiwa dan memeriksa kondisi sistem tertentu untuk menghindari deteksi,” kata Microsoft. “Ini termasuk pemeriksaan looping untuk alat analisis dan timer kotak pasir yang mencegah aktivasi penuh di lingkungan virtual yang biasa digunakan untuk analisis malware.”
Pengungkapan ini datang sebagai Palo Alto Networks Unit 42 merinci tiga sampel malware yang tidak biasa yang dideteksi tahun lalu, menghitung backdoor Layanan Informasi Internet Pasif (IIS) yang dikembangkan di C ++/CLI, sebuah bootkit yang menggunakan proyeksi Kernel yang dikembangkan.
IIS backdoor diperlengkapi untuk menguraikan permintaan HTTP yang masuk tertentu yang berisi header yang telah ditentukan dan menjalankan perintah di dalamnya, memberikannya kemampuan untuk menjalankan perintah, mendapatkan metadata sistem, membuat proses baru, menjalankan kode PowerShell, dan menyuntikkan shellcode ke dalam menjalankan atau proses baru.
Bootkit, di sisi lain, adalah DLL 64-bit yang menginstal gambar disk bootloader Grub 2 dengan menggunakan driver kernel yang ditandatangani secara sah bernama Ampa.sys. Ini dinilai menjadi bukti konsep (POC) yang dibuat oleh pihak-pihak yang tidak dikenal dari Universitas Mississippi.
“Saat reboot, bootloader Grub 2 menunjukkan gambar dan secara berkala memainkan Dixie melalui speaker PC. Perilaku ini dapat menunjukkan bahwa malware adalah lelucon ofensif,” kata peneliti unit 42 Dominik Reichel. “Khususnya, menambal sistem dengan gambar bootloader grub 2 yang disesuaikan ini hanya berfungsi pada konfigurasi disk tertentu.”
