最近，微软发布了一个重要警告，针对一种名为 StilachiRAT 的新型远程访问木马（RAT）。这种木马利用先进的技术手段来规避检测，并在目标环境中保持持久性，最终目的是窃取 敏感数据。根据微软的网络安全事件响应团队的分析，StilachiRAT 具有多种功能，例如“从目标系统中窃取信息，包括浏览器中存储的凭证、数字钱包信息、剪贴板数据以及系统信息”。

微软在 2024 年 11 月发现了 StilachiRAT，它的 RAT 功能存在于一个名为“WWStartupCtrl64.dll”的动态链接库模块中。令人担忧的是，该恶意软件尚未归属任何特定的威胁行为者或国家，这使得它的来源更加神秘并给网络防御带来了挑战。

目前尚不清楚这种木马是如何传播到目标系统上的，但微软指出，这种木马通常可以通过多种初始访问途径进行安装，因此组织必须实施适当的 安全措施。为了使攻击者更加隐蔽，StilachiRAT 设计了丰富的系统信息收集功能，包括操作系统的详细信息，硬件标识符（如 BIOS 序列号）、摄像头的存在，以及 开放的远程桌面协议（RDP）会话和正在运行的图形用户界面应用程序。这些信息通过组件对象模型（COM）和基于 Web 的企业管理（WBEM）接口使用 WMI 查询语言（WQL）进行采集。

除了收集广泛的系统信息，StilachiRAT 还针对安装在 Google Chrome 浏览器中的一系列加密钱包扩展进行攻击。这些扩展包括 Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos - Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal 和 Plug。

StilachiRAT 还能够提取存储在 Chrome 浏览器中的凭证，定期收集剪贴板内容（例如密码和加密钱包），并监控 RDP 会话，通过捕获前台窗口信息来实现其监视目的。同时，它与远程服务器建立联系，将收集到的数据外泄。由于其指挥与控制（C2）服务器之间的通信是双向的，StilachiRAT 可以接受来自 C2 服务器的指令，完成包括删除打开的网络连接、启动指定应用程序等多达 10 条不同命令的操作。

值得注意的是，StilachiRAT 显示出反取证行为，包括清除事件日志和检查特定系统条件以避免被检测。微软表示，这些策略包括循环检查分析工具和防沙箱计时器，以防止它在常用于恶意软件分析的虚拟环境中完全激活。

这一披露与 Palo Alto Networks 的 Unit 42 近日详细介绍的三种异常恶意软件样本相关，其中包括由 C++/CLI 开发的被动互联网信息服务（IIS）后门，一个使用不安全内核驱动程序安装 GRUB 2 引导加载程序的引导启动程序，以及由称为 ProjectGeass 的跨平台后期利用框架开发的 Windows 植入。

Unit 42 研究员 Dominik Reichel 还指出，恶意软件是一个 64 位 DLL，它通过名为 ampa.sys 的合法签名内核驱动程序安装 GRUB 2 引导加载程序磁盘映像。有趣的是，重启后，该 GRUB 2 引导加载程序会在计算机扬声器中播放《Dixie》这首曲调，这种行为可能表明恶意软件是一次攻击性恶作剧。

为了限制此类恶意软件的传播，微软建议用户仅从官方渠道下载软件，并实施能够阻止恶意电子邮件附件和域名的 安全措施。随着数字化世界的日益复杂，这种最新的远程访问木马 StilachiRAT 的崛起提醒我们，网络安全仍然是我们亟需重视的重点，企业和个人应该加强对安全威胁的认识，以保证信息安全。

在这个充满挑战的网络环境中，继续关注网络安全趋势、动态信息和有效防护措施将是每个用户、企业和组织应尽的责任。随着高级持续威胁（APT）和其他网络攻击模式的不断演变，我们需要时刻保持警惕，确保我们的数据不被泄露，系统不受攻击。