StilachiRAT: el ciberrata depredador roba bitcoins y te espía a través de la cámara web

Los especialistas de Microsoft descubrieron un nuevo troyano de acceso remoto: StilachiRAT. Este utiliza técnicas avanzadas para ocultarse, persistir en el sistema y robar datos confidenciales. A pesar de su distribución limitada, la compañía decidió compartir públicamente los indicadores de compromiso y las recomendaciones de protección para ayudar a los especialistas en ciberseguridad a detectar la amenaza y minimizar sus consecuencias.

StilachiRAT fue identificado por primera vez en noviembre de 2024 por investigadores de Microsoft Incident Response. El análisis del módulo «WWStartupCtrl64.dll», que contiene las funciones principales del troyano, reveló que es capaz de robar credenciales de cuentas, información de monederos digitales, datos del portapapeles y detalles del sistema.

Uno de los elementos clave de StilachiRAT es su función de reconocimiento, que le permite recopilar información sobre la configuración de hardware del dispositivo, la presencia de una cámara web, sesiones activas de escritorio remoto (RDP) y aplicaciones gráficas en ejecución. Además, el malware monitorea las ventanas activas y los procesos, analizando el comportamiento del usuario.

Tras infectar un sistema, StilachiRAT se enfoca en robar datos de monederos de criptomonedas, verificando la configuración de 20 extensiones populares, incluidas Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet y otras. Asimismo, el troyano extrae contraseñas guardadas en el navegador Google Chrome y supervisa el portapapeles en busca de credenciales y claves de criptomonedas.

Para garantizar su persistencia en el sistema, StilachiRAT utiliza el Administrador de Servicios de Windows (SCM) y crea un proceso de «vigilancia» que monitorea la actividad de los archivos binarios maliciosos y los restaura automáticamente en caso de eliminación. Esta mecánica permite que el troyano reanude su actividad de manera sigilosa incluso después de intentos de eliminación.

Una amenaza adicional está relacionada con la capacidad de StilachiRAT para rastrear sesiones activas de RDP y copiar tokens de seguridad de los usuarios, lo que permite a los atacantes moverse por la red utilizando cuentas privilegiadas. El malware obtiene datos sobre la sesión actual, abre ventanas en primer plano y duplica privilegios administrativos, permitiéndole ejecutar programas con permisos elevados.

StilachiRAT también cuenta con potentes mecanismos de evasión de análisis. Puede limpiar los registros de eventos de Windows, detectar si se está ejecutando en un entorno de sandbox y utilizar resolución dinámica de llamadas API, lo que dificulta su estudio. Si el troyano detecta que se está ejecutando en un entorno de análisis, modifica su comportamiento para evitar ser detectado.

Además del robo de datos y la ocultación, el malware permite ejecutar comandos desde un servidor de control C2. Puede reiniciar el sistema infectado, manipular ventanas del sistema, modificar parámetros del registro de Windows, suspender el funcionamiento del dispositivo y ejecutar aplicaciones arbitrarias. También es capaz de operar en modo proxy para enrutar el tráfico de red a través de la máquina infectada.

Para minimizar el riesgo de infección por StilachiRAT, Microsoft recomienda descargar software solo desde fuentes oficiales, utilizar soluciones antivirus actualizadas y bloquear dominios sospechosos y archivos adjuntos maliciosos en correos electrónicos.