StilachiRAT richt zich op diefstal van onder meer inloggegevens en digitale wallets
De remote access tool (RAT) StilachiRAT zet geavanceerde technieken in om onder de radar te kunnen opereren. De data richt zich op de diefstal van gevoelige informatie, waaronder inloggegevens, digitale wallets, data uit het clipboard en systeeminformatie. Na infectie nestelt de RAT zich daarnaast diep in het systeem, wat het verwijderen van de malware bemoeilijk. Dit blijkt uit een analyse van Microsoft Incident Response, een team van Microsoft dat klanten ondersteunt bij cyberaanvallen. Het is onduidelijk wie voor de StilachiRAT verantwoordelijk is; Microsoft meldt nog niet erin geslaagd te zijn de RAT aan een specifieke actor toe te schrijven.
Niet breed verspreid
De onderzoekers melden vooralsnog geen brede verspreiding van de RAT te zien. Door de uitgebreide technieken die het inzet om onder de radar te blijven en snelle ontwikkelingen in het malware-ecosysteem wil het team echter desondanks informatie over de malware delen.StilachiRAT verzamelt onder meer informatie over het systeem dat het heeft geïnfecteerd. Denk daarbij aan details over het besturingssysteem, gebruikte hardware, aanwezigheid van camera's, actieve Remote Desktop Protocol (RDP)-sessies en applicaties die op het systeem draaien. Daarnaast scant de RAT het systeem op de aanwezigheid van digitale wallet-extensies voor de webbrowser Google Chrome. Ook steelt het inloggegevens die zijn opgeslagen in Google Chrome.
Aansturing via C2-server
Daarnaast zet de RAT communicatie op met zijn command-and-control-server (C2-server). Vanaf deze server kan de aanvaller de malware aansturen om diverse activiteiten uit te voeren op het systeem. Denk daarbij aan het herstarten van het systeem, manipuleren van de registry, opschonen van logbestanden en opstarten van applicaties. Ook neemt StilachiRAT maatregelen om het verwijderen van de malware te bemoeilijken. Zo maakt het gebruik van Windows service control manager (SCM) om zichzelf na verwijdering opnieuw op het systeem te installeren. Ook neemt het maatregelen om detectie te vermijden. Onder meer door eventlogs te wissen en gericht te zoeken naar de aanwezigheid van detectietools.Meer informatie is te vinden in de technische analyse van StilachiRAT, die hier beschikbaar is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
Hoofd Veiligheid
Dienst Justitiële Inrichtingen
Als Hoofd Veiligheid binnen de PI Leeuw-arden ligt de verantwoordelijkheid voor het waarborgen en verbeteren van het organi-satieonderdeel Veiligheid in jouw handen. Een unieke uitdaging met een grote impact. Die kans laat jij je niet ontnemen!
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.