Microsoft
ha
lanzado
una
alerta
sobre
un
nuevo
(y
sofisticado)
malware
denominado
StilachiRAT,
un
malware
troyano
de
acceso
remoto
(RAT,
por
sus
siglas
en
inglés)
que
representa
una
amenaza
para
los
usuarios
de
Windows,
especialmente
aquellos
que
utilizan
el
navegador
Google
Chrome.
Este
malware,
descubierto
el
pasado
mes
de
noviembre,
combina
técnicas
avanzadas
de
evasión,
persistencia
y
robo
de
información
sensible
(incluyendo
credenciales
almacenadas,
datos
del
sistema
y
claves
de
criptomonedas).
cuando
MICROSOFT
lanzaba
anuncios
ANTI-GOOGLE
¿Qué
es
StilachiRAT
y
cómo
opera?
StilachiRAT
es
una
pieza
de
software
malicioso
que
se
instala
sigilosamente
en
un
sistema
Windows,
generalmente
mediante
programas
o
actualizaciones
falsas
que
aparentan
ser
legítimos.
Una
vez
infectado
el
equipo,
el
troyano
se
comunica
con
servidores
remotos,
permitiendo
a
los
atacantes
ejecutar
comandos,
recopilar
información
y
mantenerse
ocultos
durante
largos
periodos
de
tiempo.
Microsoft
aún
no
ha
atribuido
este
troyano
a
un
grupo
cibercriminal
específico
ni
ha
identificado
una
geolocalización
precisa
de
su
origen,
aunque
advierte
que
sus
capacidades
son
preocupantes.
Principales
capacidades
del
troyano
-
Reconocimiento
del
sistema:
El
malware
recopila
información
detallada
del
sistema,
incluyendo
el
sistema
operativo,
el
número
de
serie
del
BIOS,
la
presencia
de
webcam,
sesiones
activas
de
Escritorio
Remoto
(RDP)
y
qué
aplicaciones
se
están
ejecutando.
Toda
esta
información
permite
al
atacante
perfilar
minuciosamente
al
dispositivo
infectado. -
Robo
de
credenciales
y
datos
del
navegador:
StilachiRAT
es
capaz
de
extraer
las
credenciales
almacenadas
en
Google
Chrome,
accediendo
y
descifrando
la
clave
de
cifrado
maestra
que
protege
las
contraseñas
guardadas
en
el
navegador. -
Ataque
a
carteras
de
criptomonedas:
Uno
de
los
objetivos
más
preocupantes
del
troyano
es
el
robo
de
criptomonedas.
El
malware
escanea
el
sistema
en
busca
de
extensiones
de
monederos
digitales
instaladas
en
Chrome,
como
MetaMask,
Trust
Wallet,
Phantom,
entre
otras
20,
y
extrae
sus
configuraciones
para
comprometer
las
claves
privadas
y
contraseñas.
«Stilachirat
se
dirige
a
una
lista
de
extensiones
de
billetera
de
criptomonedas
específicas
para
el
navegador
Google
Chrome»
-
Control
remoto
y
persistencia:
El
troyano
establece
comunicación
con
servidores
externos
a
través
de
los
puertos
TCP
53,
443
o
16000,
ejecutando
(a
petición
de
quien
los
controla)
órdenes
como
reiniciar
el
sistema,
borrar
registros,
ejecutar
aplicaciones,
manipular
el
registro
de
Windows
o
incluso
poner
el
sistema
en
suspensión.
Además,
cuenta
con
mecanismos
de
persistencia
que
permiten
su
reinstalación
automática
si
es
eliminado. -
Monitorización
del
portapapeles:
Una
de
sus
funciones
más
invasivas
es
la
vigilancia
continua
del
contenido
del
portapapeles.
StilachiRAT
busca
específicamente
información
sensible
como
direcciones,
claves
y
contraseñas
relacionadas
con
la
criptomoneda
TRON,
ampliamente
utilizada
en
Asia. -
Evasión
forense:
El
malware
borra
registros
de
eventos,
detecta
herramientas
de
análisis,
evita
entornos
sandbox
y
ofusca
llamadas
a
APIs
del
sistema
para
dificultar
su
detección
y
análisis
técnico.
Microsoft
señala
la
existencia
de
un
fichero ‘Wwstartupctrtl64.dll’
como
indicador
de
infección
Recomendaciones
de
Microsoft
para
protegerse
Microsoft
ha
difundido
una
serie
de
recomendaciones
para
mitigar
el
riesgo
de
infección:
-
Evitar
descargas
de
fuentes
no
oficiales,
especialmente
de
software,
extensiones
o
supuestas
actualizaciones. -
Usar
navegadores
con
protección
integrada:
aquí
aprovechan
para
proponer
su
proopio
software,
Microsoft
Edge
(que
incorpora
SmartScreen
para
bloquear
sitios
maliciosos). -
Activar
herramientas
antimalware.
Imagen
|
Marcos
Merino
mediante
IA
En
Xataka
Android
|
Google
está
eliminando
un
montón
de
aplicaciones
de
la
Play
Store.
Estas
son
las
razones
