Los ciberdelincuentes siguen encontrando nuevas formas de atacar, y esta vez le tocó el turno a los usuarios de criptomonedas. Microsoft ha descubierto un nuevo troyano de acceso remoto (RAT) llamado StilachiRAT, diseñado para espiar a sus víctimas, robar datos confidenciales e incluso vaciar billeteras digitales sin que te des cuenta.
Este malware destaca por sus técnicas sofisticadas que le permiten pasar desapercibido ante muchos antivirus, mantenerse activo en el sistema y extraer información valiosa. Aunque por ahora su distribución es limitada y no se ha vinculado a un grupo de atacantes específico, Microsoft ha decidido compartir públicamente información clave para que empresas y usuarios puedan detectar y mitigar esta amenaza antes de que se propague aún más.
En este artículo te explico qué es StilachiRAT, cómo funciona y qué medidas puedes tomar para protegerte. Si manejas criptomonedas o información sensible, presta atención: esto te puede ahorrar muchos dolores de cabeza.
¿Cómo funciona el malware StilachiRAT y qué lo hace tan peligroso?
En noviembre de 2024, investigadores de Microsoft Incident Response descubrieron un nuevo troyano de acceso remoto (RAT) llamado StilachiRAT. Este malware destaca por su capacidad para evadir la detección, mantenerse oculto en los sistemas infectados y robar datos confidenciales sin levantar sospechas.
Lo preocupante de StilachiRAT es que cuenta con varias funciones avanzadas para extraer información valiosa. Es capaz de robar credenciales almacenadas en navegadores, datos de billeteras digitales e incluso información que hayas copiado en el portapapeles, como contraseñas o claves privadas de criptomonedas. Además, puede identificar detalles específicos del sistema, como el hardware, la presencia de cámaras y sesiones activas de escritorio remoto (RDP), todo para perfilar mejor a sus víctimas.
Una vez que se infiltra en el sistema, StilachiRAT escanea la configuración de hasta 20 extensiones de billeteras de criptomonedas, incluyendo Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet y otras. También accede a las credenciales guardadas en el archivo de estado local de Google Chrome usando las API de Windows, lo que le permite robar información clave con facilidad.
Para mantenerse activo, este malware se ejecuta como un proceso independiente o un servicio de Windows. Además, utiliza el Administrador de Control de Servicios (SCM) para garantizar que se reinicie automáticamente si alguien intenta detenerlo. Incluso cuenta con subprocesos de vigilancia que lo reactivan en caso de que sea eliminado, lo que complica aún más su erradicación.
Podría interesarte leer: Bybit: El Hackeo de Criptomonedas más Grande en la Historia
Funciones avanzadas de StilachiRAT: suplantación, evasión y control total
StilachiRAT no solo roba información, también puede aprovechar las sesiones activas de Escritorio Remoto (RDP) para infiltrarse aún más en la red de sus víctimas. Lo hace capturando información de las ventanas en primer plano y clonando tokens de seguridad, lo que le permite suplantar a usuarios conectados. Esto significa que los atacantes pueden moverse lateralmente por la red, especialmente si logran infectar servidores RDP que suelen alojar sesiones administrativas.
El malware identifica la sesión activa del sistema, detecta las ventanas abiertas en primer plano y enumera todas las sesiones RDP en curso. Luego, accede al shell del Explorador de Windows y clona los privilegios de esas sesiones, ganando así la capacidad de ejecutar aplicaciones con permisos elevados.
Pero eso no es todo. StilachiRAT también incluye funciones avanzadas para evitar ser detectado. Puede borrar registros de eventos del sistema y detectar si está siendo analizado en un entorno aislado (sandbox) para bloquear cualquier intento de estudio por parte de analistas de seguridad. Además, sus llamadas a la API de Windows están codificadas y se resuelven dinámicamente en tiempo de ejecución, lo que dificulta aún más el análisis del malware.
Como si fuera poco, este RAT también permite a los atacantes ejecutar comandos de forma remota a través de un servidor de comando y control (C2). Esto les da el poder de reiniciar el sistema comprometido, borrar registros, robar credenciales, ejecutar aplicaciones e incluso manipular las ventanas del sistema.
Algunos comandos adicionales permiten suspender el sistema, modificar valores del registro de Windows y listar las ventanas activas, lo que le da a los atacantes un control total sobre el equipo infectado.
Para reducir el riesgo de infección por StilachiRAT, se recomienda descargar software únicamente de sitios web oficiales y utilizar herramientas de seguridad capaces de bloquear dominios maliciosos y archivos adjuntos sospechosos.
