Microsoft está llamando la atención sobre un nuevo troyano de golpe remoto (rata) llamado Chaqueta que dice emplea técnicas avanzadas para evitar la detección y persistir adentro de entornos objetivo con un objetivo final de robar datos confidenciales.
El malware contiene capacidades para “robar información del sistema de destino, como las credenciales almacenadas en el navegador, la información de la billetera digital, los datos almacenados en el portapapeles, así como la información del sistema”, dijo el equipo de respuesta de incidentes de Microsoft en un exploración.
El coloso tecnológico dijo que descubrió Stilachirat en noviembre de 2024, con sus características de rata presentes en un módulo DLL llamado “wwstartupctrl64.dll”. El malware no se ha atribuido a ningún actor o país de amenaza específica.
Actualmente no está claro cómo se entrega el malware a los objetivos, pero Microsoft señaló que tales troyanos se pueden instalar a través de varias rutas de golpe iniciales, lo que hace que sea crucial que las organizaciones implementen medidas de seguridad adecuadas.
Stilachirat está diseñado para compilar información extensa del sistema, incluidos los detalles del sistema eficaz (OS), los identificadores de hardware como los números de serie BIOS, la presencia de la cámara, las sesiones activas del protocolo de escritorio remoto (RDP) y la ejecución de aplicaciones gráficas de interfaz de legatario (GUI).
Estos detalles se recopilan a través de las interfaces de diligencia empresarial basada en la web del maniquí de objetos componentes (COM) (WBEM) utilizando el estilo de consulta WMI (WQL).
Asimismo está diseñado para dirigir una relación de extensiones de billetera de criptomonedas instaladas adentro del navegador web de Google Chrome. La relación zapatilla Bitget Wallet, Trust Wallet, TronLink, MetAmask, TokenPocket, BNB Chain Wallet, Okx Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Frazada Santa, Frazada Portal, Confluente, Phantom, Wallet de Compass para SEI, Math Wallet, Fractal Wallet, Station Wallet, Conflux, y ContableT, y Pluglet, y Plugtom.
Por otra parte, Stilachirat extrae credenciales almacenadas en el navegador Chrome, recopila periódicamente contenido de portapapeles, como contraseñas y billeteras de criptomonedas, monitorea las sesiones RDP capturando la información de ventanas de primer plano, y establece el contacto con un servidor remoto para exfiltrar los datos cosechados.
Las comunicaciones del servidor de comando y control (C2) son de dos vías, lo que permite que el malware inicie las instrucciones enviadas por él. Las características apuntan a una utensilio versátil para el espionaje y la manipulación del sistema. Se admiten hasta 10 comandos diferentes –
- 07 – Muestra un cuadro de diálogo con contenido HTML renderizado de una URL suministrada
- 08 – Borrar entradas de registro de eventos
- 09 – Habilitar el cerrojo del sistema utilizando una API de Windows indocumentada (“ntdll.dll! Ntshutdownsystem”)
- 13 – Reciba una dirección de red del servidor C2 y establece una nueva conexión de salida.
- 14 – Acepte una conexión de red entrante en el puerto TCP suministrado
- 15 – Terminar conexiones de red abiertas
- 16 – Iniciar una aplicación específica
- 19 – Enumere todas las ventanas abiertas del escritorio contemporáneo para despabilarse un texto de la mostrador de título solicitado
- 26 – Pon el sistema en un estado suspendido (sueño) o hibernación
- 30 – Robar las contraseñas de Google Chrome
“Stilachirat muestra un comportamiento antiforense al borrar registros de eventos y revisar ciertas condiciones del sistema para esquivar la detección”, dijo Microsoft. “Esto incluye verificaciones de rizo para herramientas de exploración y temporizadores de sandbox que eviten su activación completa en entornos virtuales comúnmente utilizados para el exploración de malware”.
La divulgación se produce cuando Palo Parada Networks Dispositivo 42 Detalladas tres muestras de malware inusuales que detectó el año pasado, contando una puerta trasera de Servicios de Información de Internet Passive (IIS) desarrollada en C ++/CLI, un BootKit que utiliza un regulador de núcleo no protegido para instalar un Grub 2 Bootloper, y un implante de Windows de un implante de Windows de un ámbito de post-explotación transversal desarrollado en C ++ Llamado en CAT SECT SECTER.
La puerta trasera IIS está equipada para analizar ciertas solicitudes HTTP entrantes que contienen un encabezado predefinido y ejecutar los comandos adentro de ellos, otorgándole la capacidad de ejecutar comandos, obtener metadatos del sistema, crear nuevos procesos, ejecutar el código PowerShell e inyectar ShellCode en un proceso en ejecución o nuevo.
El Bootkit, por otro banda, es una DLL de 64 bits que instala una imagen de disco Grub 2 Boot Loader por medio de un regulador de núcleo legítimamente firmado llamado AMPA.SYS. Se evalúa que es una prueba de concepto (POC) creada por partidos desconocidos de la Universidad de Mississippi.
“Cuando se reinicia, el apoderado de puesta en marcha Grub 2 muestra una imagen y reproduce periódicamente a Dixie a través del altavoz de PC. Este comportamiento podría indicar que el malware es una broma ataque”, dijo el investigador de la Dispositivo 42 Dominik Reichel. “En particular, el parche de un sistema con esta imagen personalizada Grub 2 Boot Loader del malware solo funciona en ciertas configuraciones de disco”.
