El mundo de la ciberseguridad nunca descansa, y esta vez nos llega una nueva amenaza desde Microsoft: StilachiRAT, un troyano de acceso remoto (RAT, por sus siglas en inglés) con capacidades avanzadas para evadir la detección y robar información sensible de los sistemas infectados.
Este malware, detectado en noviembre de 2024 por investigadores de Microsoft Incident Response, demuestra una notable sofisticación a la hora de persistir en el entorno objetivo y extraer datos valiosos.
¿Qué hace a StilachiRAT tan peligroso?
Según el análisis del módulo WWStartupCtrl64.dll, que alberga las funciones principales del RAT, StilachiRAT es capaz de:
- Reconocimiento exhaustivo del sistema: Recopila información detallada del sistema operativo, hardware, presencia de cámaras, sesiones RDP activas y aplicaciones GUI en ejecución.
- Robo de credenciales: Extrae y descifra las contraseñas guardadas en Google Chrome, accediendo a nombres de usuario y datos de acceso.
- Ataque a billeteras digitales: Busca datos de configuración de 20 extensiones diferentes de billeteras de criptomonedas para Google Chrome.
- Monitorización del portapapeles: Supervisa continuamente el contenido del portapapeles en busca de datos sensibles como contraseñas y claves de criptomonedas.
- Conectividad con servidores de comando y control (C2): Establece comunicación con servidores remotos C2 utilizando los puertos TCP 53, 443 o 16000, permitiendo la ejecución remota de comandos y el potencial uso de proxies tipo SOCKS.
- Ejecución de comandos: Soporta una variedad de comandos desde el servidor C2, incluyendo reinicios del sistema, borrado de registros, manipulación del registro, ejecución de aplicaciones y suspensión del sistema.
- Mecanismos de persistencia: Logra la persistencia a través del administrador de control de servicios (SCM) de Windows y utiliza hilos watchdog para asegurar su reinstalación en caso de ser eliminado.
- Monitorización de RDP: Supervisa las sesiones RDP, capturando información de la ventana activa e imitando a los usuarios, lo que permite un posible movimiento lateral dentro de las redes.
- Técnicas anti-forenses y de evasión: Emplea tácticas anti-forenses borrando registros de eventos, detectando herramientas de análisis e implementando comportamientos de evasión de sandbox para evitar la detección.
En detalle: ¿Cómo opera StilachiRAT?
Profundicemos en algunas de las capacidades más relevantes de este troyano:
Reconocimiento del sistema
StilachiRAT recopila una gran cantidad de información del sistema utilizando consultas WMI (Windows Management Instrumentation). Esto incluye detalles como el número de serie, la presencia de cámaras y la información del sistema operativo.
Además, crea una identificación única en el dispositivo infectado a partir del número de serie del sistema y la clave RSA pública de los atacantes, almacenando esta información en el registro de Windows.
Ataque a billeteras digitales
Este RAT tiene como objetivo específico una lista de extensiones de billeteras de criptomonedas para Google Chrome. Comprueba la presencia de estas extensiones en el registro de Windows, buscando en la clave \SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings.
La lista de extensiones objetivo es bastante extensa e incluye billeteras populares como MetaMask, Trust Wallet, y otras menos conocidas.
Robo de credenciales
StilachiRAT extrae la clave de cifrado de Google Chrome del archivo Local State en el directorio del usuario. Para descifrar esta clave, utiliza APIs de Windows que dependen del contexto del usuario actual, permitiendo el acceso a las credenciales almacenadas en el gestor de contraseñas de Chrome.
Monitorización del portapapeles
Esta funcionalidad permite al malware leer periódicamente el portapapeles, extrayendo texto basado en expresiones de búsqueda y exfiltrando estos datos. Se buscan contraseñas, claves de criptomonedas y otros identificadores personales.
Comunicación con el servidor C2
StilachiRAT establece comunicación con servidores de comando y control (C2) utilizando los puertos TCP 53, 443 o 16000, seleccionados aleatoriamente. Para evitar la detección, el malware retrasa la conexión inicial durante dos horas.
Una vez conectado, se envía al servidor una lista de las ventanas activas.
¿Cómo protegerte de StilachiRAT?
Aunque Microsoft aún no ha atribuido StilachiRAT a un grupo de amenazas específico, ni cree que su distribución sea generalizada, su sigilo y la rápida evolución del panorama del malware hacen que sea crucial tomar medidas preventivas.
Aquí tienes algunas recomendaciones:
- Descarga software de fuentes oficiales: Evita descargar programas de sitios web no confiables. Siempre utiliza las páginas oficiales del desarrollador.
- Utiliza un navegador seguro: Microsoft Edge y otros navegadores con SmartScreen pueden identificar y bloquear sitios web maliciosos.
- Activa Safe Links y Safe Attachments para Office 365: Estas funciones protegen contra enlaces y archivos adjuntos maliciosos en correos electrónicos.
- Habilita la protección de red en Microsoft Defender for Endpoint: Impide que las aplicaciones accedan a dominios maliciosos.
- Activa la protección contra aplicaciones potencialmente no deseadas (PUA) en Microsoft Defender Antivirus: Bloquea software que pueda ralentizar tu equipo o mostrar anuncios inesperados.
- Mantén tu antivirus actualizado y con protección en tiempo real activada: Asegúrate de que tu software antivirus esté siempre actualizado y funcionando.
- Habilita la protección contra alteraciones en Microsoft Defender for Endpoint: Evita que el malware desactive las protecciones de seguridad.
Conclusión
StilachiRAT es una amenaza seria que demuestra la continua evolución de las técnicas de malware. Mantente alerta, sigue las recomendaciones de seguridad y mantén tus sistemas protegidos para evitar ser víctima de este troyano.