盡管尚未廣泛傳播，但一種名為StilachiRAT的新型Windows遠程訪問木馬（RAT）構成了嚴重威脅。微軟威脅分析師在周一警告稱：“[該惡意軟件]展示了復雜的技術手段，以逃避檢測、在目標環境中持久化并竊取敏感數據。”

StilachiRAT的功能

StilachiRAT具備以下功能：

• 收集系統信息以描繪目標系統概覽：包括操作系統/系統信息、硬件標識符、BIOS序列號、攝像頭的存在、活動的遠程桌面協議（RDP）會話、軟件安裝記錄以及活動的圖形用戶界面（GUI）應用程序。
• 信息和憑證竊取：StilachiRAT可以獲取存儲在Chrome瀏覽器中的憑證，讀取系統的剪貼板并提取其中的數據（如密碼、加密貨幣密鑰以及可能的個人標識符），并針對Google Chrome瀏覽器的20種加密貨幣錢包擴展程序（包括CoinBase錢包、MetaMask和TronLink）的目標配置數據進行竊取。
• RDP監控：威脅分析師指出：“StilachiRAT通過捕獲前景窗口信息并復制安全令牌來模擬用戶，從而監控RDP會話。這在托管管理會話的RDP服務器上尤其危險，因為它可能會在網絡內實現橫向移動。”
• 執行從命令與控制（C2）服務器接收的命令：該惡意軟件可以重啟/暫停系統、清除日志、執行應用程序并檢查哪些應用程序處于打開狀態、修改Windows注冊表值、操作系統窗口、建立新的出站連接以及自我刪除。

反取證與持久化機制

StilachiRAT通過兩個配置的地址與C2服務器通信，但其僅在安裝兩小時后執行此操作，并且僅在TCPView未運行時才會進行連接。（TCPView是一種網絡監控工具，可以幫助發現意外的出站連接，可能表明系統屬于研究人員或分析師。）

該惡意軟件還采取了額外的反取證措施，包括：清除安全日志、檢查分析工具和沙箱的存在、混淆Windows API調用（以阻礙手動分析）。最后，該惡意軟件還有方法確保其在目標計算機上的持久化。

緩解與檢測措施

微軟尚未將StilachiRAT歸因于特定的威脅行為者或地理位置。分析師解釋說：“根據微軟目前的可見性，該惡意軟件目前并未表現出廣泛傳播的特點。”

他們也不知道該惡意軟件是如何傳播到目標系統的，因此避免下載和運行惡意軟件的一般建議在這里同樣適用。微軟已分享了妥協指標和搜索查詢，可以幫助威脅獵人檢查是否存在該惡意軟件的跡象：如可疑的出站網絡連接、持久化跡象以及反取證行為。