PANewsは3月18日、Cointelegraphによると、テクノロジー大手のMicrosoftが、Google Chromeブラウザの20の暗号通貨ウォレット拡張機能を特に標的とし、そこに含まれる暗号資産を盗む新しいリモートアクセス型トロイの木馬(RAT)を発見したと報じた。マイクロソフトのインシデント対応チームは3月17日のブログ投稿で、昨年11月にStilachiRATと呼ばれるマルウェアを初めて検出したことを明らかにした。このソフトウェアは、ブラウザに保存されている資格情報、デジタルウォレット情報、クリップボードデータを盗むことができます。展開されると、攻撃者は StilachiRAT を使用して、Coinbase Wallet、Trust Wallet、MetaMask、OKX Wallet を含む 20 種類の暗号通貨ウォレット拡張機能の構成情報をスキャンし、暗号通貨ウォレットのデータを盗むことができます。
「RAT 機能を含む StilachiRAT の WWStartupCtrl64.dll モジュールの調査により、このモジュールが複数の手段を使ってターゲット システムから情報を盗んでいることが判明しました」と Microsoft の分析では指摘されています。このマルウェアは、Google Chrome のローカル状態ファイルに保存されている認証情報を抽出したり、クリップボードのアクティビティを監視してパスワードや暗号化キーなどの機密情報を探したりといった機能を備えています。また、イベント ログをクリアしたり、サンドボックス内で実行されているかどうかをチェックして分析の試みを阻止するなど、検出回避機能やアンチフォレンジック機能も備えています。
マイクロソフトは、このマルウェアの背後に誰がいるのかをまだ特定していないが、情報を公開することで潜在的な被害者の数を減らせることを期待している。 Microsoft は、ウイルス対策ソフトウェア、クラウドベースのフィッシング対策およびマルウェア対策コンポーネントをデバイスにインストールするなど、マルウェアの被害者にならないための対策をユーザーに推奨しています。
