Microsoft est\u00e1 llamando la atenci\u00f3n sobre un nuevo troyano de acceso remoto (rata) llamado Estilachirat<\/strong> que dice emplea t\u00e9cnicas avanzadas para evitar la detecci\u00f3n y persistir dentro de entornos objetivo con un objetivo final de robar datos confidenciales.<\/p>\n El malware contiene capacidades para “robar informaci\u00f3n del sistema de destino, como las credenciales almacenadas en el navegador, la informaci\u00f3n de la billetera digital, los datos almacenados en el portapapeles, as\u00ed como la informaci\u00f3n del sistema”, “el equipo de respuesta a incidentes de Microsoft dicho<\/a> en un an\u00e1lisis.<\/p>\n El gigante tecnol\u00f3gico dijo que descubri\u00f3 Stilachirat en noviembre de 2024, con sus caracter\u00edsticas de rata presentes en un m\u00f3dulo DLL llamado “wwstartupctrl64.dll”. El malware no se ha atribuido a ning\u00fan actor o pa\u00eds de amenaza espec\u00edfica.<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo se entrega el malware a los objetivos, pero Microsoft se\u00f1al\u00f3 que tales troyanos se pueden instalar a trav\u00e9s de varias rutas de acceso iniciales, lo que hace que sea crucial que las organizaciones implementen medidas de seguridad adecuadas.<\/p>\n Stilachirat est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n extensa del sistema, incluidos los detalles del sistema operativo (OS), los identificadores de hardware como los n\u00fameros de serie BIOS, la presencia de la c\u00e1mara, las sesiones activas del protocolo de escritorio remoto (RDP) y la ejecuci\u00f3n de aplicaciones gr\u00e1ficas de interfaz de usuario (GUI).<\/p>\n Estos detalles se recopilan a trav\u00e9s de las interfaces de gesti\u00f3n empresarial basada en la web del modelo de objetos componentes (COM) (WBEM) utilizando el lenguaje de consulta WMI (WQL). <\/p>\n Tambi\u00e9n est\u00e1 dise\u00f1ado para dirigir una lista de extensiones de billetera de criptomonedas instaladas dentro del navegador web de Google Chrome. La lista abarca Bitget Wallet, Trust Wallet, TronLink, MetAmask, TokenPocket, BNB Chain Wallet, Okx Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Santa, Manta Portal, Confluente, Phantom, Wallet de Compass para SEI, Math Wallet, Fractal Wallet, Station Wallet, Conflux, y ContableT, y Pluglet, y Plugtom.<\/p>\n Adem\u00e1s, Stilachirat extrae credenciales almacenadas en el navegador Chrome, recopila peri\u00f3dicamente contenido de portapapeles, como contrase\u00f1as y billeteras de criptomonedas, monitorea las sesiones RDP capturando la informaci\u00f3n de ventanas de primer plano, y establece el contacto con un servidor remoto para exfiltrar los datos cosechados.<\/p>\n Las comunicaciones del servidor de comando y control (C2) son de dos v\u00edas, lo que permite que el malware inicie las instrucciones enviadas por \u00e9l. Las caracter\u00edsticas apuntan a una herramienta vers\u00e1til para el espionaje y la manipulaci\u00f3n del sistema. Se admiten hasta 10 comandos diferentes –<\/p>\n “Stilachirat muestra un comportamiento antiforense al borrar registros de eventos y verificar ciertas condiciones del sistema para evadir la detecci\u00f3n”, dijo Microsoft. “Esto incluye verificaciones de bucle para herramientas de an\u00e1lisis y temporizadores de sandbox que eviten su activaci\u00f3n completa en entornos virtuales com\u00fanmente utilizados para el an\u00e1lisis de malware”.<\/p>\n La divulgaci\u00f3n se produce cuando Palo Alto Networks Unidad 42 detallado<\/a> Tres muestras de malware inusuales que detect\u00f3 el a\u00f1o pasado, contando una puerta trasera de Informaci\u00f3n de Internet pasiva (IIS) desarrollada en C ++\/CLI, un Bootkit que utiliza un controlador de n\u00facleo no garantizado para instalar un gestor de arranque Grub 2 y un implante de Windows de un marco de explotaci\u00f3n multiplataforma desarrollado en C ++ llamado ProjectGeass.<\/p>\n La puerta trasera IIS est\u00e1 equipada para analizar ciertas solicitudes HTTP entrantes que contienen un encabezado predefinido y ejecutar los comandos dentro de ellos, otorg\u00e1ndole la capacidad de ejecutar comandos, obtener metadatos del sistema, crear nuevos procesos, ejecutar el c\u00f3digo PowerShell e inyectar ShellCode en un proceso en ejecuci\u00f3n o nuevo. <\/p>\n El Bootkit, por otro lado, es una DLL de 64 bits que instala una imagen de disco Grub 2 Boot Loader por medio de un controlador de n\u00facleo leg\u00edtimamente firmado llamado AMPA.SYS. Se eval\u00faa que es una prueba de concepto (POC) creada por partidos desconocidos de la Universidad de Mississippi.<\/p>\n “Cuando se reinicia, el gestor de arranque Grub 2 muestra una imagen y se reproduce peri\u00f3dicamente Marmita<\/a> a trav\u00e9s del altavoz de PC. Este comportamiento podr\u00eda indicar que el malware es una broma ofensiva, “dijo el investigador de la Unidad 42 Dominik Reichel.” En particular, parchear un sistema con esta imagen personalizada de cargador de arranque Grub 2 del malware solo funciona en ciertas configuraciones de disco “.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Microsoft-advierte-sobre-Stilachirat-una-rata-sigilosa-que-se-dirige.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n