Microsoft a découvert un nouveau cheval de Troie d’accès à distance (RAT) qui utilise des « techniques sophistiquées » pour éviter la détection, maintenir la persistance et extraire des données sensibles.
Bien que le logiciel malveillant (baptisé StilachiRAT) n’ait pas encore atteint une large diffusion, Microsoft a déclaré avoir décidé de partager publiquement des indicateurs de compromission et des conseils d’atténuation pour aider les défenseurs du réseau à détecter cette menace et à réduire son impact.
En raison du nombre limité d’instances de StilachiRAT déployées dans la nature, Microsoft n’a pas encore attribué ce malware à un acteur de menace spécifique ou ne l’a pas associé à une géolocalisation particulière.
« En novembre 2024, les chercheurs de Microsoft Incident Response ont découvert un nouveau cheval de Troie d’accès à distance (RAT) que nous avons nommé StilachiRAT qui démontre des techniques sophistiquées pour échapper à la détection, persister dans l’environnement cible et exfiltrer les données sensibles », a déclaré Microsoft.
« Analyse de l’étoile de guerre du stilachiratctrl64.le module dll contenant les capacités RAT a révélé l’utilisation de diverses méthodes pour voler des informations sur le système cible, telles que les informations d’identification stockées dans le navigateur, les informations sur le portefeuille numérique, les données stockées dans le presse-papiers, ainsi que les informations système.
Parmi les fonctionnalités de ce nouveau RAT, Redmond a mis en évidence des capacités de reconnaissance telles que la collecte de données système, y compris les identifiants matériels, la présence de caméras, les sessions RDP (Remote Desktop Protocol) actives et l’exécution d’applications basées sur une interface graphique pour profiler les systèmes ciblés.
Après avoir été déployés sur des systèmes compromis, les attaquants peuvent utiliser StilachiRAT pour siphonner les données du portefeuille numérique en analysant les informations de configuration de 20 extensions de portefeuille de crypto-monnaie, notamment Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet et autres.
Le logiciel malveillant extrait également les informations d’identification enregistrées dans le fichier d’état local de Google Chrome à l’aide des API Windows et surveille l’activité du presse-papiers à la recherche d’informations sensibles telles que les mots de passe et les clés de crypto-monnaie tout en suivant les fenêtres et les applications actives.
Une fois lancé en tant que processus autonome ou service Windows, le RAT gagne et maintient la persistance via le gestionnaire de contrôle des services Windows (SCM) et s’assure qu’il est réinstallé automatiquement à l’aide de threads de surveillance qui surveillent les binaires du logiciel malveillant et les recréent s’ils ne sont plus actifs.
StilachiRAT peut également surveiller les sessions RDP actives en capturant des informations à partir de fenêtres de premier plan et en clonant des jetons de sécurité pour usurper l’identité d’utilisateurs connectés, ce qui peut permettre aux attaquants de se déplacer latéralement au sein des réseaux d’une victime après avoir déployé le malware RAT sur des serveurs RDP qui hébergent souvent des sessions administratives.
« Le logiciel malveillant obtient la session en cours et lance activement les fenêtres de premier plan et énumère toutes les autres sessions RDP », a déclaré Microsoft. « Pour chaque session identifiée, il accédera au shell de l’Explorateur Windows et dupliquera ses privilèges ou son jeton de sécurité. Le malware acquiert ensuite la capacité de lancer des applications avec ces privilèges nouvellement obtenus. »
Les capacités du RAT incluent également des fonctionnalités étendues d’évasion de détection et d’anti-criminalistique, comme la possibilité d’effacer les journaux d’événements et de rechercher des signes indiquant qu’il s’exécute dans un bac à sable pour bloquer les tentatives d’analyse des logiciels malveillants. Même s’ils sont amenés à s’exécuter dans un bac à sable, les appels d’API Windows de StilachiRAT sont codés comme des « sommes de contrôle résolues dynamiquement au moment de l’exécution » et davantage obscurcis pour ralentir l’analyse.
Dernier point mais non le moindre, Microsoft affirme que StilachiRAT permet l’exécution de commandes et un proxy potentiel de type SOCKS à l’aide de commandes d’un serveur de commande et de contrôle (C2) vers les périphériques infectés, ce qui peut permettre aux acteurs de la menace de redémarrer le système compromis, d’effacer les journaux, de voler des informations d’identification, d’exécuter des applications et de manipuler les fenêtres système.
D’autres commandes sont conçues pour » suspendre le système, modifier les valeurs du registre Windows et énumérer les fenêtres ouvertes. »
Pour réduire la surface d’attaque que ce logiciel malveillant peut utiliser pour compromettre un système ciblé, Microsoft conseille de télécharger des logiciels uniquement à partir de sites Web officiels et d’utiliser un logiciel de sécurité capable de bloquer les domaines malveillants et les pièces jointes aux e-mails.