Un nuevo malware está poniendo en riesgo la seguridad de los monederos de criptomonedas, según un informe reciente de Microsoft Incident Response. Descubierto en noviembre de 2024, el StilachiRAT es un troyano de acceso remoto (RAT) que utiliza técnicas avanzadas para el robo de información.
El informe de Microsoft destaca que este virus está diseñado para extraer datos sensibles, incluyendo información de monederos digitales de criptomonedas. Los principales objetivos son los inversores que utilizan extensiones de monederos en el navegador Google Chrome.
Veinte monederos de criptomonedas en riesgo
Las pruebas realizadas indican que el malware es capaz de escanear y extraer información de 20 diferentes extensiones de monederos de criptomonedas. Entre los más afectados se encuentran los populares MetaMask, Trust Wallet, Coinbase Wallet, Phantom y Bitget Wallet (anteriormente BitKeep).
Otros monederos en riesgo incluyen TronLink, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet y ConfluxPortal.
El malware accede a la configuración de estas extensiones en Google Chrome, validando su presencia y extrayendo datos críticos. Entre la información comprometida se encuentran claves privadas, frases de recuperación (seed phrases) y otras credenciales esenciales para acceder a los monederos.
Además, monitorea el contenido del portapapeles del usuario en busca de claves privadas, direcciones de criptomonedas y otras credenciales sensibles. Posteriormente, estos datos son enviados a servidores de comando y control (C2), permitiendo a los atacantes drenar los fondos de las víctimas.
Un virus indetectable
Según el equipo de seguridad de Microsoft, el StilachiRAT es especialmente peligroso debido a su capacidad para infiltrarse en los sistemas sin ser detectado. Utiliza métodos sofisticados para recolectar información, incluyendo credenciales almacenadas en el navegador, datos del portapapeles y detalles del sistema operativo.
Una vez instalado, el malware establece comunicación con servidores remotos a través de puertos TCP (53, 443 o 16000). Esto permite a los atacantes ejecutar comandos de forma remota, manipular registros del sistema, abrir aplicaciones e incluso suspender el sistema operativo de la víctima.
Además, emplea técnicas anti-forenses, como la limpieza de registros de eventos y la detección de herramientas de análisis, lo que dificulta su identificación y eliminación. También usa mecanismos de persistencia, como la reinicialización automática de servicios en Windows, garantizando que el virus permanezca activo incluso después de intentos de eliminación.
El robo de credenciales es particularmente alarmante, ya que el malware puede descifrar contraseñas almacenadas en el navegador, incluyendo aquellas utilizadas para proteger los monederos. Con esta información, los atacantes pueden transferir los fondos a sus propias direcciones, dejando a los inversores sin posibilidad de recuperación.
¿Cómo proteger tus inversiones?
Ante esta amenaza, es crucial tomar medidas de seguridad para proteger los monederos de criptomonedas y minimizar los riesgos de ataque.
Microsoft recomienda evitar el uso de extensiones de navegador y optar por aplicaciones dedicadas, que son menos vulnerables a ataques de malware. Además, se aconseja mantener todos los programas actualizados y descargarlos únicamente de fuentes oficiales, ya que malwares como StilachiRAT suelen disfrazarse como actualizaciones legítimas.
También se recomienda no copiar claves privadas ni frases de recuperación en el portapapeles, sino utilizar gestores de contraseñas seguros. Siguiendo estas prácticas, los inversores pueden reducir significativamente el riesgo de ser víctimas de este tipo de ataques.
