Microsoft heeft een nieuwe remote access trojan (RAT) ontdekt die “gesofisticeerde technieken” gebruikt om detectie te vermijden, persistentie te verzekeren en gevoelige informatie te extraheren.

Hoewel de malware (StilachiRAT genoemd) nog niet op grote schaal verspreid is, zegt Microsoft dat het besloot om publiekelijk indicatoren van compromittering en mitigatierichtlijnen te delen om netwerkverdedigers te helpen deze dreiging te detecteren en de impact ervan te verminderen.

Vanwege de beperkte gevallen van StilachiRAT die in de praktijk worden ingezet, heeft Microsoft deze malware nog niet aan een specifieke dreigingsactor toegeschreven of met een bepaalde geolocatie in verband gebracht.

“In november 2024 ontdekte Microsoft Incident Response een nieuwe remote access trojan (RAT) die we StilachiRAT hebben genoemd. Deze vertoont gesofisticeerde technieken om detectie te ontlopen, in de doelomgeving te blijven en gevoelige gegevens te exfiltreren,” zei Microsoft.

“Analyse van de StilachiRAT’s WWStartupCtrl64.dll module die de RAT-capabiliteiten bevatte, onthulde het gebruik van verschillende methoden om informatie van het doelsysteem te stelen, zoals in de browser opgeslagen inloggegevens, digitale portemonnee-informatie, gegevens die in het klembord zijn opgeslagen en systeeminformatie.

Onder de functies van deze nieuwe RAT benadrukte Redmond verkenningsmogelijkheden zoals het verzamelen van systeemtelo, inclusief hardware-identificatie, aanwezigheid van een camera, actieve Remote Desktop Protocol (RDP) sessies en lopende GUI-gebaseerde applicaties om doelssystemen te profileren.

Nadat ze op gecompromitteerde systemen zijn ingezet, kunnen aanvallers StilachiRAT gebruiken om gegevens van digitale portemonnees te stelen door de configuratie-informatie van 20 extensies voor cryptocurrency-portemonnees te scannen, waaronder Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet en anderen.

De malware extraheert ook inloggegevens opgeslagen in het lokale statusbestand van Google Chrome met behulp van Windows API’s en bewaakt de activiteit van het klembord op zoek naar gevoelige informatie zoals wachtwoorden en cryptografische sleutels, terwijl actieve vensters en applicaties worden gevolgd.

Zodra het als een op zichzelf staand proces of een Windows-service is gestart, verkrijgt en behoudt de RAT persistentie via de Windows service control manager (SCM) en zorgt ervoor dat het automatisch opnieuw wordt geïnstalleerd met behulp van watchdog-threads die de binaries van de malware monitoren en opnieuw creëren als ze niet langer actief zijn.

StilachiRAT kan ook actieve RDP-sessies monitoren door informatie van voorgrondvensters vast te leggen en beveiligingstokens te klonen om ingelogde gebruikers te imiteren, wat de aanvallers in staat kan stellen lateraal binnen de netwerken van een slachtoffer te bewegen nadat de RAT-malware op RDP-servers is ingezet die vaak administratieve sessies hosten.

“De malware verkrijgt de huidige sessie en start actief voorgrondvensters op, evenals het opsommen van alle andere RDP-sessies,” zei Microsoft. “Voor elke geïdentificeerde sessie zal het toegang krijgen tot de Windows Verkenner-shell en zijn bevoegdheden of beveiligingstoken dupliceren. De malware krijgt dan de mogelijkheid om applicaties te starten met deze nieuw verkregen bevoegdheden.”

De capaciteiten van de RAT omvatten ook uitgebreide detectie-omzeiling en anti-forensische functies, zoals de mogelijkheid om gebeurtenislogboeken te wissen en te controleren of het in een sandbox draait om pogingen tot malware-analyse te blokkeren. Zelfs als het in de val wordt gelokt om in een sandbox te draaien, zijn de Windows API-aanroepen van StilachiRAT gecodeerd als “checksummen die dynamisch tijdens de uitvoering worden opgelost” en verder verdoezeld om analyse te vertragen.

Last but not least, zegt Microsoft dat StilachiRAT de uitvoering van opdrachten en potentiële proxy’s van het SOCKS-type mogelijk maakt via opdrachten van een command-and-control (C2) server naar de geïnfecteerde apparaten, waarmee dreigingsactoren het gecompromitteerde systeem kunnen herstarten, logboeken kunnen wissen, inloggegevens kunnen stelen, applicaties kunnen uitvoeren en systeemvensters kunnen manipuleren.

Andere opdrachten zijn ontworpen om “het systeem op te schorten, Windows-registerwaarden te wijzigen en open vensters op te sommen.”

Om het aanvalsoppervlak dat deze malware kan gebruiken om een doelgericht systeem te compromitteren te verkleinen, adviseert Microsoft om software alleen van officiële websites te downloaden en beveiligingssoftware te gebruiken die kwaadaardige domeinen en e-mailbijlagen kan blokkeren.