Microsoft attire l’attention sur un nouveau cheval de Troie (rat) d’accès à distance nommé Stilachirat Le fait qu’il a déclaré utilise des techniques avancées pour contourner la détection et persister dans les environnements cibles dans un objectif ultime de voler des données sensibles.

Le malware contient des capacités de “voler des informations du système cible, telles que les informations d’identification stockées dans le navigateur, les informations numériques du portefeuille, les données stockées dans le presse-papiers, ainsi que les informations système” dit dans une analyse.

Le géant de la technologie a déclaré avoir découvert Stilachirat en novembre 2024, avec ses caractéristiques de rat présentes dans un module DLL nommé “wwstartupctrl64.dll”. Le malware n’a été attribué à aucun acteur ou pays de menace spécifique.

Il n’est actuellement pas clair comment le malware est livré aux cibles, mais Microsoft a noté que ces chevaux de Troie peuvent être installés via diverses voies d’accès initiales, ce qui rend crucial que les organisations mettent en œuvre des mesures de sécurité adéquates.

Cybersécurité

Stilachirat est conçu pour recueillir des informations approfondies système, y compris les détails du système d’exploitation (OS), des identifiants matériels tels que les numéros de série BIOS, la présence de la caméra, les séances de protocole de bureau à distance active (RDP) et les applications d’interface utilisateur graphique (GUI) en cours d’exécution.

Ces détails sont collectés via les interfaces de gestion d’entreprise basées sur le modèle d’objet composant (COM) (WBEM) à l’aide du langage de requête WMI (WQL).

Il est également conçu pour cibler une liste des extensions de portefeuille de crypto-monnaie installées dans le navigateur Web Google Chrome. La liste comprend le portefeuille Bitget, le portefeuille de confiance, Tronlink, Metamask, Tokenpocket, BNB Chain Wallet, Okx Wallet, SUI Wallet, Braavos – Wallet Starknet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, porteflux pour SEI, Math portefeuille, portefeuille fractal, Wallet, Wallet, Wallet.

En outre, Stilachirat extrait les informations d’identification stockées dans le navigateur Chrome, collecte périodiquement du contenu du presse-papiers telles que les mots de passe et les portefeuilles de crypto-monnaie, surveille les séances RDP en capturant les informations de fenêtre de premier plan et établit un contact avec un serveur distant pour exfiltration des données récoltées.

Les communications du serveur de commande et de contrôle (C2) sont à double sens, permettant aux logiciels malveillants de lancer des instructions envoyées par elle. Les fonctionnalités indiquent un outil polyvalent pour l’espionnage et la manipulation du système. Jusqu’à 10 commandes différentes sont prises en charge –

  • 07 – Afficher une boîte de dialogue avec le contenu HTML rendu à partir d’une URL fournie
  • 08 – Effacer les entrées du journal des événements
  • 09 – Activer l’arrêt du système à l’aide d’une API Windows sans papiers (“ntdll.dll! NtshutdownSystem”)
  • 13 – Recevez une adresse réseau du serveur C2 et établissez une nouvelle connexion sortante.
  • 14 – Acceptez une connexion réseau entrante sur le port TCP fourni
  • 15 – terminer les connexions de réseau ouvert
  • 16 – Lancez une application spécifiée
  • 19 – Énumérez toutes les fenêtres ouvertes du bureau actuel pour rechercher un texte de barre de titre demandé
  • 26 – Mettez le système dans un état en suspension (sommeil) ou en hibernation
  • 30 – Volez les mots de passe Google Chrome

“Stilachirat affiche un comportement anti-forensique en effaçant les journaux des événements et en vérifiant certaines conditions du système pour échapper à la détection”, a déclaré Microsoft. “Cela inclut les vérifications en boucle pour les outils d’analyse et les minuteries de bac à sable qui empêchent son activation complète dans des environnements virtuels couramment utilisés pour l’analyse des logiciels malveillants.”

Cybersécurité

La divulgation vient sous le nom de Palo Alto Networks Unit 42 détaillé Trois échantillons de logiciels malveillants inhabituels qu’il a détectés l’année dernière, en comptant une porte dérobée passive des services d’information sur Internet (IIS) développé en C ++ / CLI, un bootkit qui utilise un pilote de noyau non garanti pour installer un chargeur de démarrage Grub 2, et un implant Windows d’un cadre de post-exploitation de la plate-forme transversale développé dans C ++ appelé ProjectGeas.

La porte dérobée IIS est équipée pour analyser certaines demandes HTTP entrantes contenant un en-tête prédéfini et exécuter les commandes en eux, en lui accordant la possibilité d’exécuter des commandes, d’obtenir des métadonnées système, de créer de nouveaux processus, d’exécuter du code PowerShell et d’injecter ShellCode dans un processus exécutif ou nouveau.

Le bootkit, en revanche, est une DLL 64 bits qui installe une image de disque de chargeur de démarrage Grub 2 au moyen d’un pilote de noyau légitimement signé nommé AMPA.SYS. Il est évalué comme une preuve de concept (POC) créé par des parties inconnues de l’Université du Mississippi.

“Lorsqu’il est redémarré, le chargeur de démarrage Grub 2 montre une image et joue périodiquement Gamelle via le haut-parleur PC. Ce comportement pourrait indiquer que le malware est une farce offensive “, a déclaré le chercheur de l’unité 42, Dominik Reichel.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57