Los investigadores de seguridad de Microsoft han identificado una nueva amenaza de malware dirigida a extensiones de billeteras criptográficas populares, incluidas MetaMask y Phantom.

El troyano de acceso remoto StilachiRAT se descubrió por primera vez en noviembre de 2024 y desde entonces ha sido analizado en profundidad para revelar la profundidad de esta amenaza. Específicamente, puede apuntar a billeteras de criptomonedas.

MetaMask, Coinbase, Phantom, Keplr y más podrían estar en riesgo, ya que el RAT puede buscar extensiones de billeteras de criptomonedas en el navegador Google Chrome. A continuación, puede extraer y descifrar las credenciales guardadas para acceder a los nombres de usuario y contraseñas.

El RAT de recopilación de información puede monitorear continuamente el contenido del portapapeles, ya que busca activamente información confidencial como claves y contraseñas de criptomonedas.

Los investigadores compartieron ejemplos de las expresiones regulares que el RAT utiliza para escanear el contenido del portapapeles en busca de credenciales, señalando que están buscando información relacionada con la red Tron, que es particularmente popular en China.

Microsoft dice que StilachiRAT se dirige a billeteras específicas, incluidas: Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Kepler, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal y Plug.

Aaron Walton, analista de inteligencia de amenazas en Expel, dijo a Decrypt: «El malware de robo de información aprovecha la ingeniería social para engañar a los usuarios para que descarguen y ejecuten código malicioso. Estos señuelos van desde una descarga hasta una oferta de trabajo, o incluso un falso captcha que interrumpe a un usuario mientras navega por la web».

«Se puede ganar mucho dinero y las tácticas que utilizan los delincuentes pueden eludir la seguridad básica e incluso las defensas de nivel empresarial».

StilachiRAT parece estar utilizando comportamientos antiforenses, como borrar registros de eventos y evadir la detección.

El equipo de Respuesta a Incidentes de Microsoft dice: «Según la visibilidad actual de Microsoft, el malware no exhibe una distribución generalizada en este momento. Sin embargo, debido a sus capacidades de sigilo y los rápidos cambios dentro del ecosistema de malware, estamos compartiendo estos hallazgos como parte de nuestros esfuerzos continuos para monitorear, analizar e informar sobre el panorama de amenazas en evolución».

Pagina Original:

Microsoft Flags Trojan Malware Targeting MetaMask, Phantom and Coinbase Wallets