StilachiRAT es un malware sofisticado que apunta a los usuarios de monederos de criptomonedas a través de Google Chrome, capaz de robar credenciales y claves privadas eludiendo los sistemas de detección.
Este troyano utiliza técnicas avanzadas como la eliminación de registros del sistema, la explotación de Windows Management Instrumentation (WMI) y la ejecución de comandos remotos para persistir y evadir análisis.
Microsoft recomienda medidas de protección como actualizaciones regulares y autenticación multifactorial, pero el uso de un monedero físico todavía es la única solución confiable para asegurar las claves privadas.
Un nuevo troyano ataca a los monederos digitales
Microsoft ha emitido una advertencia sobre StilachiRAT, un malware sofisticado que se dirige activamente a los usuarios de monederos de criptomonedas a través de Google Chrome. Detectado por primera vez en noviembre de 2024, este troyano de acceso remoto (RAT) se destaca por su capacidad para evadir los sistemas de detección, persistir en las máquinas infectadas y robar información sensible, incluidas las credenciales almacenadas en el navegador. Entre los objetivos identificados se encuentran monederos populares como MetaMask, Coinbase Wallet, Phantom, OKX Wallet y BNB Chain Wallet.
Una amenaza insidiosa y difícil de detectar
StilachiRAT no solo roba información de los usuarios: se adapta y se oculta en el entorno infectado. Su funcionamiento se basa en técnicas avanzadas, como el uso de Windows Management Instrumentation (WMI) para recopilar datos de forma discreta sin levantar sospechas, el borrado de registros del sistema para ocultar cualquier rastro de actividad maliciosa, la detección de herramientas de análisis forense y máquinas virtuales para evitar ser identificado por investigadores de ciberseguridad, y la ejecución de comandos remotos que dan a los atacantes un control total sobre la máquina infectada. Estas características lo convierten en un adversario formidable capaz de mantenerse activo durante mucho tiempo sin alertar al usuario.
Monederos de criptomonedas en la mira: cómo ataca StilachiRAT
Uno de los aspectos más preocupantes de StilachiRAT es su experiencia en el robo de criptomonedas. Este malware no solo recupera contraseñas, sino que está diseñado específicamente para extraer claves privadas almacenadas en extensiones del navegador. Una vez que estas claves se ven comprometidas, los atacantes pueden vaciar los monederos de sus víctimas sin posibilidad de recuperación.
El malware utiliza varias técnicas para comprometer los monederos, como robar las credenciales almacenadas en el navegador (principalmente Google Chrome), supervisar el portapapeles para detectar y modificar direcciones de recepción de criptomonedas, rastrear sesiones remotas (RDP) para capturar las acciones del usuario y ejecutar comandos remotos que permiten a los atacantes tomar el control del sistema.
Un crecimiento alarmante en el ciberdelito
StilachiRAT se inscribe en una tendencia preocupante: los ciberdelincuentes están desarrollando herramientas cada vez más sofisticadas para aprovechar las vulnerabilidades de los usuarios de criptomonedas. Este malware es solo una pieza de una cadena más amplia que incluye bootkits capaces de modificar el firmware de las computadoras para obtener un acceso persistente, puertas traseras (IIS backdoors) utilizadas para ejecutar comandos sin el conocimiento de las víctimas, e implantes de Windows dedicados a la vigilancia y el robo de datos sensibles. El panorama es claro: los cryptostealers son ahora un elemento clave en estos ciberataques, y cada nueva intrusión en un sistema podría llevar a la comprometida de los fondos almacenados en línea.
Cómo protegerse contra StilachiRAT y amenazas similares
Microsoft recomienda varias buenas prácticas para protegerse contra esta amenaza, como mantener el sistema operativo y el software actualizados para cerrar las vulnerabilidades explotadas por estos malwares, utilizar un antivirus o una solución de protección avanzada para detectar y neutralizar los RATs, activar la autenticación multifactorial para proteger el acceso a plataformas sensibles, evitar descargar archivos sospechosos o hacer clic en enlaces no verificados, y vigilar los registros del sistema para detectar cualquier actividad sospechosa. Sin embargo, estas medidas no siempre son suficientes frente a un ataque dirigido a los monederos de criptomonedas.
El peligro de los monederos basados en navegadores: una vulnerabilidad estructural
Los monederos basados en navegadores son inherentemente vulnerables. StilachiRAT lo demuestra una vez más: si una clave privada se almacena en un entorno de software, puede ser comprometida. Una vez robada, no hay autenticación adicional ni restablecimiento que puedan evitar que el hacker se apropie de los fondos.
La única solución efectiva: un monedero físico
Expertos en seguridad, como Charles Guillemet, CTO de Ledger, enfatizan que un monedero físico sigue siendo la única protección confiable contra estos ataques. A diferencia de los monederos de software, un monedero físico almacena las claves privadas en un chip seguro, fuera del alcance de los malwares, requiere una validación física para cualquier transacción, lo que hace imposible el robo a distancia, y está protegido contra el robo de credenciales, el registro de pulsaciones de teclas y la modificación del portapapeles. Incluso si un usuario está infectado por StilachiRAT, sus fondos están protegidos mientras estén almacenados en un monedero físico.