Malware mới nhắm vào người dùng tiền mã hóa, đánh cắp thông tin xác thực ví và dữ liệu tài chính

Một loại trojan truy cập từ xa (RAT) mới được phát hiện có tên là StilachiRAT đang nhắm vào người dùng tiền mã hóa bằng cách đánh cắp thông tin xác thực ví điện tử và lấy cắp dữ liệu nhạy cảm. Các nhà nghiên cứu phản ứng sự cố của Microsoft đã chi tiết khả năng của phần mềm độc hại trong một báo cáo được công bố vào ngày 17 tháng 3 năm 2025, nhấn mạnh sự tập trung của nó vào việc xâm phạm người dùng Google Chrome, những người lưu trữ các tiện ích mở rộng ví tiền mã hóa và thông tin đăng nhập đã lưu.

Theo Microsoft:

> StilachiRAT nhắm vào một danh sách các tiện ích mở rộng ví tiền mã hóa cụ thể cho trình duyệt Google Chrome.

Phần mềm độc hại quét 20 tiện ích mở rộng ví khác nhau, bao gồm Bitget Wallet (trước đây là Bitkeep), Trust Wallet, Tronlink, Metamask (ethereum), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Stati
trên Wallet, Confluxportal và Plug, cho phép kẻ tấn công trích xuất thông tin tài sản kỹ thuật số.

Ngoài việc nhắm mục tiêu vào ví tiền điện tử, StilachiRAT cũng đánh cắp thông tin đăng nhập được lưu trữ từ Google Chrome bằng cách vượt qua các cơ chế mã hóa của nó. Báo cáo giải thích: “StilachiRAT trích xuất khóa mã hóa của Google Chrome từ tập tin trạng thái cục bộ trong thư mục của người dùng. Tuy nhiên, vì khóa được mã hóa khi Chrome được cài đặt lần đầu, nó sử dụng các API Windows dựa vào ngữ cảnh của người dùng hiện tại để giải mã khóa chính. Điều này cho phép truy cập vào các thông tin đăng nhập được lưu trữ trong kho lưu mật khẩu.”

Điều này cho phép kẻ tấn công lấy lại tên người dùng và mật khẩu liên quan đến các tài khoản tài chính, làm tăng nguy cơ đối với tài sản kỹ thuật số của nạn nhân. Ngoài ra, StilachiRAT thiết lập một kết nối chỉ huy và kiểm soát (C2), cho phép các nhân viên điều khiển từ xa thực hiện các lệnh, thao tác các quy trình hệ thống và duy trì sự hiện diện ngay cả sau khi bị phát hiện ban đầu.

Phần mềm độc hại cũng liên tục giám sát dữ liệu từ khay nhớ t
để trích xuất khóa tiền điện tử và thông tin tài chính nhạy cảm. Báo cáo của Microsoft lưu ý:

> Việc theo dõi clipboard là liên tục, với các tìm kiếm có mục tiêu cho thông tin nhạy cảm như mật khẩu, khóa tiền điện tử và có thể là các định danh cá nhân.

Bằng cách quét các mẫu cụ thể liên quan đến địa chỉ tiền điện tử, StilachiRAT có thể chặn và thay thế các địa chỉ ví đã được sao chép, chuyển hướng các giao dịch đến một điểm đến do kẻ tấn công kiểm soát. Để giảm thiểu rủi ro, Microsoft khuyên người dùng nên thực hiện các biện pháp bảo mật như kích hoạt các biện pháp bảo vệ của Microsoft Defender, sử dụng trình duyệt an toàn và tránh tải xuống không xác minh. Khi cảnh giác về các mối đe dọa phát triển, các chuyên gia an ninh mạng kêu gọi những người nắm giữ tiền điện tử hãy cảnh giác trước các phần mềm độc hại mới nổi được thiết kế để khai thác tài sản số.