微软曝光新型远程访问木马StilachiRAT

3月18日消息，近日有科技媒体报道称，微软安全团队发现了一种新型的远程访问木马（RAT），命名为StilachiRAT。这款恶意软件具备较高的技术复杂性，能够有效规避检测，同时维持系统持久性并窃取敏感信息。

根据报道内容，尽管StilachiRAT目前的传播范围较为有限，但微软已提前公开了与该威胁相关的指标及防御建议，以帮助网络安全人员减少潜在风险。目前，尚未明确该恶意软件的具体幕后操控者或其地理来源。

StilachiRAT通过模块WWStartupCtrl64.dll对目标系统进行攻击，主要扫描包括Coinbase、Metamask在内的20种加密货币钱包扩展程序，试图获取数字钱包的相关数据。此外，这款木马还会窃取存储在Chrome浏览器中的登录凭证，监控剪贴板中可能存在的密码和加密货币密钥，并记录系统硬件配置以及当前活跃的远程桌面协议（RDP）会话。

更进一步的是，该木马能够收集摄像头状态、图形用户界面（GUI）应用程序的运行情况等信息，从而构建目标系统的详细画像，以识别高价值攻击对象。同时，它还可以通过克隆用户的安全令牌伪装成合法用户登录，突破RDP服务器上的管理员会话限制，实现网络内的横向移动。

在部署方面，StilachiRAT可以作为独立进程或Windows服务运行，并通过绑定至Windows服务控制管理器（SCM）来确保持久性。为了防止被清除，该木马还设置了一个“看门狗线程”，用于实时监控自身进程。一旦检测到进程被终止，它将自动重建以恢复运行。