Actu

Vos cryptos sont la proie d’un virus si vous utilisez ces wallets selon Microsoft

Par Martin Pelletier

Dernière mise à jour : Mar 19, 2025

Disclaimer Icon
Avertissement
Avertissement sur les risques: L’investissement en crypto-monnaie comprend des risques et n’est pas adapté à tous les investisseurs. La perte peut être égale ou supérieure au montant investi. N’investissez jamais plus l’argent que ce vous pouvez vous permettre de perdre. Notez aussi que cet article peut comprendre des liens d’affiliation, mais que notre contenu reste néanmoins objectif et est le résultat de nos prores tests.
Disclaimer Icon
Avertissement
Avertissement sur les risques: L’investissement en crypto-monnaie comprend des risques et n’est pas adapté à tous les investisseurs. La perte peut être égale ou supérieure au montant investi. N’investissez jamais plus l’argent que ce vous pouvez vous permettre de perdre. Notez aussi que cet article peut comprendre des liens d’affiliation, mais que notre contenu reste néanmoins objectif et est le résultat de nos prores tests.

Frayeur générale sur les réseaux sociaux alors qu’un virus de type RAT, Remote Acces Trojan ou cheval de Troie cible les wallets de crypto-monnaies. Cette nouvelle menace inédite vient directement cibler les extensions de navigateur sur Chrome. Aussi, elle peut voler tout un panel de donnée stockée par votre navigateur comme vos mots de passes ou autre.

StilachiRAT de son nom, représente un risque sérieux pour vos actifs. Face à cette menace, il est essentiel d’être vigilant et de prendre des mesures pour vous protéger.

Qu’est-ce que StilachiRAT ?

Le virus qui fait tant parler du nom de StilachiRAT est donc un trojan ou RAT. Il permet de s’attaquer aux extensions de portefeuilles de crypto-monnaies installées sur Chrome, comme Metamask, Trust Wallet, OKX Wallet et bien d’autres.

Voici la liste complète et leur code d’identification fournie par Microsoft :

Cryptocurrency wallet extension name Chrome extension identifier
Bitget Wallet (Formerly BitKeep) jiidiaalihmmhddjgbnbgdfflelocpak
Trust Wallet egjidjbpglichdcondbcbdnbeeppgdph
TronLink ibnejdfjmmkpcnlpebklmnkoeoihofec
MetaMask (ethereum) nkbihfbeogaeaoehlefnkodbefgpgknn
TokenPocket mfgccjchihfkkindfppnaooecgfneiii
BNB Chain Wallet fhbohimaelbohpjbbldcngcnapndodjp
OKX Wallet mcohilncbfahbmgdjkbpemcciiolgcge
Sui Wallet opcgpfmipidbgpenhmajoajpbobppdil
Braavos – Starknet Wallet jnlgamecbpmbajjfhmmmlhejkemejdma
Coinbase Wallet hnfanknocfeofbddgcijnmhnfnkdnaad
Leap Cosmos Wallet fcfcfllfndlomdhbehjjcoimbgofdncg
Manta Wallet enabgbdfcbaehmbigakijjabdpdnimlg
Keplr dmkamcknogkgcdfhhbddcghachkejeap
Phantom bfnaelmomeimhlpmgjnjophhpkkoljpa
Compass Wallet for Sei anokgmphncpekkhclmingpimjmcooifb
Math Wallet afbcbjpbpfadlkmhmclhkeeodmamcflc
Fractal Wallet agechnindjilpccclelhlbjphbgnobpf
Station Wallet aiifbnbfobpmeekipheeijimdpnlpgpp
ConfluxPortal bjiiiblnpkonoiegdlifcciokocjbhkd
Plug cfbfdhimifdmdehjmkdobpcjfefblkjm

En plus, on pourrait croire que c’est déjà dangereux, mais il ne s’arrête pas là.

Son champ d’action va bien au-delà :

  • Il peut voler les logs enregistrés dans le navigateur
  • Il surveille votre presse-papier pour récupérer mots de passes et clés de sécurités
  • Il collecte également beaucoup de données sur votre machine et les logiciels installés.

Ce malware est particulièrement sournois lorsqu’on s’interésse à son fonctionnement et ses techniques afin d’éviter sa détection.

Additionnellement à ces principales fonctions, il peut effacer les journaux d’événements pour masquer ses traces et ses opérations. Mais aussi détecter si des outils d’analyses sont présents avant d’agir. Ainsi qu’exécuter des commandes et modifier le registre Windows à votre insu depuis un serveur distant.

Toutes les capacités techniques de StilachiRAT

StilachiRAT est doté d’un large éventail de fonctionnalités malveillantes, détaillées dans le tableau suivant, qui illustrent son impact potentiel :

Capacité Description
Reconnaissance système Collecte des détails sur le système d’exploitation, les identifiants matériels, la présence de caméra, les sessions RDP actives et les applications GUI, via WMI/WQL.
Ciblage des portefeuilles numériques Scanne 20 extensions de portefeuilles de cryptomonnaies dans Chrome, comme MetaMask (nkbihfbeogaeaoehlefnkodbefgpgknn) et Bitget Wallet (jiidiaalihmmhddjgbnbgdfflelocpak).
Vol d’identifiants Extrait et décrypte les identifiants enregistrés dans Chrome à partir de fichiers locaux, en utilisant des requêtes SQLite.
Connectivité C2 Utilise les ports TCP 53, 443 ou 16000, avec un délai de 2 heures avant la première connexion, et communique avec des serveurs comme app.95560[.]cc ou 194.195.89[.]47. Vérifie la présence de tcpview.exe pour éviter la détection.
Exécution de commandes Prends en charge 10 commandes, incluant le redémarrage du système, l’effacement des journaux, la manipulation du registre, l’exécution d’applications et la suspension du système, via le serveur C2.
Mécanismes de persistance Utilise le SCM Windows, des threads de surveillance pour recréer des fichiers EXE/DLL supprimés, et modifie le registre pour assurer le redémarrage du service.
Surveillance RDP Capture les informations de la fenêtre active, duplique les jetons de sécurité pour le mouvement latéral, et énumère les sessions RDP.
Collecte de données et presse-papiers Surveille en continu le presse-papiers pour des mots de passe ou clés de cryptomonnaies (ex. : adresses TRX avec le modèle \bT[0-9a-zA-Z]{33}\b), suit les fenêtres actives, et scanne des répertoires comme %USERPROFILE%\Desktop.
Anti-forensique et évasion Efface les journaux d’événements (ID 1102, 104), détecte les outils d’analyse, utilise des comportements pour éviter les environnements de sandbox, et masque les API Windows avec des sommes de contrôle XOR.

Comment se propage-t-il ?

Pour l’instant, il est difficile d’isoler vraiment un vecteur exact de diffusion de ce RAT. Il est fort probable qu’il utilise des techniques habituelles de masse comme :

  • Emails d’hameçonnage contenant des liens ou des pièces jointes malveillants.
  • Sites web compromis qui infectent votre ordinateur lors d’une visite.
  • Téléchargements douteux déguisés en logiciels légitimes.

Aussi, plus précis, des outils d’analyse comme TradingView qui ont des options payantes peuvent trouver des versions dites crackés avec tout gratuitement. Il ne serait pas étonnant qu’à l’intérieur se cache ce fameux RAT qui vient cibler des particuliers qui ont de forte chances de posséder des cryptos s’ils souhaitent analyser le marché.

Enfin, il ne faut jamais oublier la règle d’or. Ne téléchargez et n’installez jamais de programmes ou extensions qui ne proviennent pas de sources officielles ou bien vérifiées depuis longtemps. Ne croyez pas aux mails qui vous offrent monts et merveilles et faites attentions à ceux qui vous alertent d’une faille de sécurité, vérifiez la source.

Comment vous protéger ?

Ne paniquez pas, déjà premièrement, une première mesure serait de transférer vos actifs vers un wallet mobile comme Best Wallet. Le risque zéro n’existe pas, mais dans la mesure où vous n’êtes pas sûr d’être en sécurité, cela ne coûte presque rien.

D’abord, mettez à jour votre système d’exploitation Microsoft étant pointu sur le sujet, c’est déjà une bonne base.

Ensuite, installez un antivirus fiable, Malware Bytes ou autre et mettez-le à jour régulièrement.

Aussi, activez toutes les sécurités sur votre navigateur protégeant votre navigation.

Enfin, soyez prudent avec vos emails, un simple PDF peut suffire à vous infecter.

Pour finir, désactiver les extensions inutiles dans Chrome pour limiter les points d’entrées sur votre machine.

Avec toutes ces mesures, les chances que ce RAT vous infecte et en plus cause des dégâts sont fortement réduits. Les virus profitent 99 % du temps d’une vulnérabilité de l’utilisateur plutôt que d’une machine peu protégée.

Pour conclure, StilachiRAT est un danger réel pour tout holder de crypto-monnaies. Cependant, des mesures de sécurités détaillées plus haut et l’action de Microsoft déjà en place vous protégeront. Adoptez ses réflexes simples et périodiques pour votre sécurité.

Vos actifs sont précieux, ne laissez pas un programme que vous pouvez facilement contrer, profiter de vous et vous les arracher.


Pour aller plus loin :

Pourquoi vous pouvez faire confiance à 99Bitcoins

10+ années

Fondée en 2013, les membres de l’équipe de 99Bitcoin sont des experts en cryptographie depuis les débuts de Bitcoin.

90h+

Recherche hebdomadaire

100k+

Les lecteurs mensuels

50+

Contributeurs experts

2000+

Projets de crypto-monnaie examinés

Google News Icon
Suivez 99Bitcoins sur votre fil d'actualités Google
Obtenez les dernières nouvelles, tendances et analyses du marché en quelques clics. Souscrivez maintenant !
S'inscrire maintenant
Martin Pelletier
Martin Pelletier
Journaliste Expert en Web3

Journaliste et analyste spécialisé dans les crypto-monnaies et la blockchain, Martin Pelletier explore les dynamiques du Web3 et des nouvelles technologies financières depuis 2019. Fort d’une expérience dans la finance traditionnelle, il s’est tourné vers le monde des actifs numériques... Lire la suite

Cours gratuit sur le Bitcoin

  • Plus de 100 000 étudiants satisfaits.
  • Un email par jour, 7 jours d'affilé.
  • Court et éducatif, garanti!
Retour en haut