微软安全研究人员已识别出一种新的恶意软件威胁，针对包括MetaMask和Phantom在内的流行加密钱包扩展。

StilachiRAT远程访问木马首次在2024年11月被发现，随后进行了深入分析，以揭示这一威胁的深度。具体来说，它可以针对加密钱包。

MetaMask、Coinbase、Phantom、Keplr等可能面临风险，因为该木马能够扫描Google Chrome浏览器中的加密货币钱包扩展。然后，它可以提取和解密保存的凭据，以访问用户名和密码。

该信息收集木马可以持续监控剪贴板内容，因为它积极寻找敏感信息，如加密货币密钥和密码。

研究人员分享了该木马用于扫描剪贴板内容以获取凭据的正则表达式示例，并指出他们正在寻找与Tron网络相关的信息——该网络在中国特别受欢迎。

微软表示，StilachiRAT针对特定钱包，包括：Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos - Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Kepler、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal和Plug。

Expel的威胁情报分析师Aaron Walton告诉Decrypt：“信息窃取恶意软件利用社会工程学来欺骗用户下载和执行恶意代码。这些诱饵从下载、工作机会，甚至是干扰用户浏览网页的假验证码等各种形式都有。

“这是一笔巨额财富，犯罪分子使用的战术可以绕过基本安全性，甚至是商业级别的防御。”

StilachiRAT似乎使用了反取证行为，包括清除事件日志和规避检测。

微软事件响应团队表示：“根据微软目前的可见性，该恶意软件目前并未表现出广泛传播的迹象。然而，由于其隐蔽能力和恶意软件生态系统的快速变化，我们分享这些发现是我们持续监控、分析和报告不断演变的威胁形势的一部分。”

编辑：Stacy Elliott。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。