Microsoft está llamando la atención sobre un nuevo troyano de acceso remoto (rata) llamado Chaqueta que dice emplea técnicas avanzadas para evitar la detección y persistir dentro de entornos objetivo con un objetivo final de robar datos confidenciales.
El malware contiene capacidades para «robar información del sistema de destino, como las credenciales almacenadas en el navegador, la información de la billetera digital, los datos almacenados en el portapapeles, así como la información del sistema», dijo el equipo de respuesta de incidentes de Microsoft en un análisis.
El gigante tecnológico dijo que descubrió Stilachirat en noviembre de 2024, con sus características de rata presentes en un módulo DLL llamado «wwstartupctrl64.dll». El malware no se ha atribuido a ningún actor o país de amenaza específica.
Actualmente no está claro cómo se entrega el malware a los objetivos, pero Microsoft señaló que tales troyanos se pueden instalar a través de varias rutas de acceso iniciales, lo que hace que sea crucial que las organizaciones implementen medidas de seguridad adecuadas.
Stilachirat está diseñado para recopilar información extensa del sistema, incluidos los detalles del sistema operativo (OS), los identificadores de hardware como los números de serie BIOS, la presencia de la cámara, las sesiones activas del protocolo de escritorio remoto (RDP) y la ejecución de aplicaciones gráficas de interfaz de usuario (GUI).
Estos detalles se recopilan a través de las interfaces de gestión empresarial basada en la web del modelo de objetos componentes (COM) (WBEM) utilizando el lenguaje de consulta WMI (WQL).
También está diseñado para dirigir una lista de extensiones de billetera de criptomonedas instaladas dentro del navegador web de Google Chrome. La lista abarca Bitget Wallet, Trust Wallet, TronLink, MetAmask, TokenPocket, BNB Chain Wallet, Okx Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Santa, Manta Portal, Confluente, Phantom, Wallet de Compass para SEI, Math Wallet, Fractal Wallet, Station Wallet, Conflux, y ContableT, y Pluglet, y Plugtom.
Además, Stilachirat extrae credenciales almacenadas en el navegador Chrome, recopila periódicamente contenido de portapapeles, como contraseñas y billeteras de criptomonedas, monitorea las sesiones RDP capturando la información de ventanas de primer plano, y establece el contacto con un servidor remoto para exfiltrar los datos cosechados.
Las comunicaciones del servidor de comando y control (C2) son de dos vías, lo que permite que el malware inicie las instrucciones enviadas por él. Las características apuntan a una herramienta versátil para el espionaje y la manipulación del sistema. Se admiten hasta 10 comandos diferentes –
- 07 – Muestra un cuadro de diálogo con contenido HTML renderizado de una URL suministrada
- 08 – Borrar entradas de registro de eventos
- 09 – Habilitar el cierre del sistema utilizando una API de Windows indocumentada («ntdll.dll! Ntshutdownsystem»)
- 13 – Reciba una dirección de red del servidor C2 y establece una nueva conexión de salida.
- 14 – Acepte una conexión de red entrante en el puerto TCP suministrado
- 15 – Terminar conexiones de red abiertas
- 16 – Iniciar una aplicación específica
- 19 – Enumere todas las ventanas abiertas del escritorio actual para buscar un texto de la barra de título solicitado
- 26 – Pon el sistema en un estado suspendido (sueño) o hibernación
- 30 – Robar las contraseñas de Google Chrome
«Stilachirat muestra un comportamiento antiforense al borrar registros de eventos y verificar ciertas condiciones del sistema para evadir la detección», dijo Microsoft. «Esto incluye verificaciones de bucle para herramientas de análisis y temporizadores de sandbox que eviten su activación completa en entornos virtuales comúnmente utilizados para el análisis de malware».
La divulgación se produce cuando Palo Alto Networks Unidad 42 Detalladas tres muestras de malware inusuales que detectó el año pasado, contando una puerta trasera de Servicios de Información de Internet Passive (IIS) desarrollada en C ++/CLI, un BootKit que utiliza un controlador de núcleo no garantizado para instalar un Grub 2 Bootloper, y un implante de Windows de un implante de Windows de un marco de post-explotación transversal desarrollado en C ++ Llamado en CAT SECT SECTER.
La puerta trasera IIS está equipada para analizar ciertas solicitudes HTTP entrantes que contienen un encabezado predefinido y ejecutar los comandos dentro de ellos, otorgándole la capacidad de ejecutar comandos, obtener metadatos del sistema, crear nuevos procesos, ejecutar el código PowerShell e inyectar ShellCode en un proceso en ejecución o nuevo.
El Bootkit, por otro lado, es una DLL de 64 bits que instala una imagen de disco Grub 2 Boot Loader por medio de un controlador de núcleo legítimamente firmado llamado AMPA.SYS. Se evalúa que es una prueba de concepto (POC) creada por partidos desconocidos de la Universidad de Mississippi.
«Cuando se reinicia, el gestor de arranque Grub 2 muestra una imagen y reproduce periódicamente a Dixie a través del altavoz de PC. Este comportamiento podría indicar que el malware es una broma ofensiva», dijo el investigador de la Unidad 42 Dominik Reichel. «En particular, el parche de un sistema con esta imagen personalizada Grub 2 Boot Loader del malware solo funciona en ciertas configuraciones de disco».