【安全资讯】微软发现新型RAT恶意软件用于加密货币盗窃与侦察

概要：

微软近期发现了一种名为StilachiRAT的新型远程访问木马（RAT），该恶意软件采用复杂技术以避免检测、确保持久性并提取敏感信息。尽管目前该恶意软件尚未广泛传播，微软决定公开其攻击指标和缓解建议，以帮助网络防御者识别这一威胁并降低其影响。

主要内容：

StilachiRAT的分析显示，该恶意软件能够从目标系统中窃取多种信息，包括浏览器中存储的凭证、数字钱包信息以及剪贴板中的数据。其侦察能力使其能够收集系统数据，如硬件标识符、摄像头状态、活动的远程桌面协议（RDP）会话等。攻击者在受感染系统上部署StilachiRAT后，可以扫描20种加密货币钱包扩展的配置，窃取数字钱包数据。

该恶意软件通过Windows服务控制管理器（SCM）获得持久性，确保在系统重启后自动重新安装。StilachiRAT还能够监控活动的RDP会话，捕获前台窗口的信息，并克隆安全令牌，以伪装成已登录用户，从而在受害者网络中横向移动。其复杂的检测规避和反取证功能使其能够清除事件日志，并检查是否在沙盒中运行，以阻止恶意软件分析。

此外，StilachiRAT允许通过命令与控制（C2）服务器执行命令，可能导致系统重启、日志清除、凭证窃取等。微软建议用户仅从官方网站下载软件，并使用能够阻止恶意域和电子邮件附件的安全软件，以降低该恶意软件的攻击面。