A equipe de segurança da Microsoft publicou um alerta nesta segunda-feira (17) sobre um novo trojan focado no roubo de criptomoedas em diversas carteiras de navegador, incluindo MetaMask, Phantom, Trust Wallet, Coinbase Wallet e outras famosas.
Chamado StilachiRAT, o malware também coleta diversas informações sobre os computadores infectados, rouba senhas salvas no Chrome, permite controle remoto, monitora a área de transferência (CTRL+C) para buscar senhas e chaves-privadas, bem como do uso de mecanismos para ser reinstalado caso removido.
Segundo a Microsoft, o trojan usa táticas anti-forenses para não ser detectado por programas de segurança, aumentando o seu risco.
Hackers miram em carteiras de criptomoedas com novo trojan
Apesar de toda sua multifuncionalidade, o que chama atenção no StilachiRAT é o seu foco no roubo de criptomoedas. Afinal, muitos investidores mantém ao menos uma parte de seus fundos em carteiras de navegador para fácil acesso de suas economias.
No total, o trojan foca em 20 carteiras, incluindo as mais famosas do mercado.
“O StilachiRAT tem como alvo uma lista de extensões específicas de carteiras de criptomoedas para o navegador Google Chrome.”
- Bitget Wallet (antiga BitKeep)
- Trust Wallet
- TronLink
- MetaMask
- TokenPocket
- BNB Chain Wallet
- OKX Wallet
- Sui Wallet
- Braavos – Starknet Wallet
- Coinbase Wallet
- Leap Cosmos Wallet
- Manta Wallet
- Keplr
- Phantom
- Compass Wallet for Sei
- Math Wallet
- Fractal Wallet
- Station Wallet
- ConfluxPortal
- Plug
Em outro trecho, a Microsoft destaca que o trojan coleta dados da área de transferência (CTRL+C), também em busca de criptomoedas.
“Monitora continuamente o conteúdo da área de transferência, procurando ativamente por dados sensíveis como senhas e chaves de criptomoedas, enquanto rastreia janelas e aplicativos ativos.”
Embora a Microsoft afirme que o StilachiRAT somente monitore esse conteúdo, outros malwares conseguem substituir um endereço de criptomoeda por outro, sob controle dos hackers, levando a perda de fundos caso à vítima não verifique o endereço colado.
Uma das soluções para contornar esses riscos é o uso de uma carteira de hardware, que podem ser encontradas a partir de R$ 500 no Brasil.
Isso porque as chaves-privadas são armazenadas em um ambiente seguro e transações são assinadas na própria carteira, oferecendo uma maior segurança mesmo que o sistema operacional esteja infectado.
Já a Microsoft recomenda que usuários somente baixem aplicativos diretamente dos sites oficiais ou fontes confiáveis.
Indo além, também citado o uso do Safe Links e o Safe Attachments no Office 365 para evitar o acesso a links suspeitos, bem como a ativação do Microsoft Defender no Windows.
Trojan também é uma grande ameaça para quem não tem criptomoedas no computador
Além das possíveis perdas financeiras, o StilachiRAT também é uma grande ameaça para usuários que não possuem criptomoedas em seus computadores. Isso porque, segundo a Microsoft, o trojan tem diversos outros focos.
Dentre eles está o roubo de senhas encriptadas gravadas no Google Chrome e até mesmo a coleta de informações sobre o sistema operacional, incluindo a presença de câmeras. Outro ponto mencionado é a capacidade de controle remoto.
“O StilachiRAT coleta uma variedade de dados do usuário, incluindo registros de instalação de software e aplicativos ativos. Ele monitora janelas GUI ativas, o texto da barra de título e a localização dos arquivos, enviando essas informações para o servidor C2, o que pode permitir que os atacantes acompanhem o comportamento do usuário”, escreveu a Microsoft.
