Pesquisadores de segurança da Microsoft identificaram uma nova ameaça de malware que tem como alvo extensões populares de carteiras de criptomoedas, incluindo MetaMask e Phantom.
O trojan de acesso remoto StilachiRAT foi descoberto pela primeira vez em novembro de 2024 e, desde então, passou por uma análise aprofundada para revelar a extensão dessa ameaça. Especificamente, ele pode atingir carteiras de criptomoedas.
MetaMask, Coinbase, Phantom, Keplr e outras carteiras podem estar em risco, já que o RAT é capaz de escanear extensões de carteiras de criptomoedas no navegador Google Chrome. Ele pode então extrair e descriptografar credenciais salvas para acessar nomes de usuário e senhas.
Esse malware de coleta de informações pode monitorar continuamente o conteúdo da área de transferência, procurando ativamente informações sensíveis, como chaves de criptomoedas e senhas.
Os pesquisadores compartilharam exemplos das expressões regulares que o RAT usa para escanear o conteúdo da área de transferência em busca de credenciais, observando que ele procura especificamente informações relacionadas à rede Tron — particularmente popular na China.
A Microsoft afirma que o StilachiRAT tem como alvo carteiras específicas, incluindo: Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal e Plug.
Leia Também
Aaron Walton, Analista de Inteligência de Ameaças na Expel, disse ao Decrypt:
“Malwares de roubo de informações utilizam engenharia social para enganar usuários e fazê-los baixar e executar código malicioso. Esses truques variam desde downloads até ofertas de emprego falsas ou até mesmo um CAPTCHA falso que interrompe a navegação do usuário.”
“Há muito dinheiro a ser ganho, e as táticas que os criminosos estão usando podem contornar medidas básicas de segurança e até mesmo defesas empresariais.”
O StilachiRAT parece estar utilizando comportamentos anti-forenses, incluindo a limpeza de logs de eventos e a evasão de detecção.
A equipe de Resposta a Incidentes da Microsoft declarou: “Com base na visibilidade atual da Microsoft, o malware não apresenta uma distribuição generalizada neste momento. No entanto, devido às suas capacidades furtivas e às rápidas mudanças no ecossistema de malware, estamos compartilhando essas descobertas como parte de nossos esforços contínuos para monitorar, analisar e relatar o cenário de ameaças em evolução.”
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.