Frayeur générale sur les réseaux sociaux alors qu’un virus de type RAT, Remote Acces Trojan ou cheval de Troie cible les wallets de crypto-monnaies. Cette nouvelle menace inédite vient directement cibler les extensions de navigateur sur Chrome. Aussi, elle peut voler tout un panel de donnée stockée par votre navigateur comme vos mots de passes ou autre.
StilachiRAT de son nom, représente un risque sérieux pour vos actifs. Face à cette menace, il est essentiel d’être vigilant et de prendre des mesures pour vous protéger.
Qu’est-ce que StilachiRAT ?
Le virus qui fait tant parler du nom de StilachiRAT est donc un trojan ou RAT. Il permet de s’attaquer aux extensions de portefeuilles de crypto-monnaies installées sur Chrome, comme Metamask, Trust Wallet, OKX Wallet et bien d’autres.
Voici la liste complète et leur code d’identification fournie par Microsoft :
| Cryptocurrency wallet extension name | Chrome extension identifier |
| Bitget Wallet (Formerly BitKeep) | jiidiaalihmmhddjgbnbgdfflelocpak |
| Trust Wallet | egjidjbpglichdcondbcbdnbeeppgdph |
| TronLink | ibnejdfjmmkpcnlpebklmnkoeoihofec |
| MetaMask (ethereum) | nkbihfbeogaeaoehlefnkodbefgpgknn |
| TokenPocket | mfgccjchihfkkindfppnaooecgfneiii |
| BNB Chain Wallet | fhbohimaelbohpjbbldcngcnapndodjp |
| OKX Wallet | mcohilncbfahbmgdjkbpemcciiolgcge |
| Sui Wallet | opcgpfmipidbgpenhmajoajpbobppdil |
| Braavos – Starknet Wallet | jnlgamecbpmbajjfhmmmlhejkemejdma |
| Coinbase Wallet | hnfanknocfeofbddgcijnmhnfnkdnaad |
| Leap Cosmos Wallet | fcfcfllfndlomdhbehjjcoimbgofdncg |
| Manta Wallet | enabgbdfcbaehmbigakijjabdpdnimlg |
| Keplr | dmkamcknogkgcdfhhbddcghachkejeap |
| Phantom | bfnaelmomeimhlpmgjnjophhpkkoljpa |
| Compass Wallet for Sei | anokgmphncpekkhclmingpimjmcooifb |
| Math Wallet | afbcbjpbpfadlkmhmclhkeeodmamcflc |
| Fractal Wallet | agechnindjilpccclelhlbjphbgnobpf |
| Station Wallet | aiifbnbfobpmeekipheeijimdpnlpgpp |
| ConfluxPortal | bjiiiblnpkonoiegdlifcciokocjbhkd |
| Plug | cfbfdhimifdmdehjmkdobpcjfefblkjm |
En plus, on pourrait croire que c’est déjà dangereux, mais il ne s’arrête pas là.
Son champ d’action va bien au-delà :
- Il peut voler les logs enregistrés dans le navigateur
- Il surveille votre presse-papier pour récupérer mots de passes et clés de sécurités
- Il collecte également beaucoup de données sur votre machine et les logiciels installés.
Ce malware est particulièrement sournois lorsqu’on s’interésse à son fonctionnement et ses techniques afin d’éviter sa détection.
Additionnellement à ces principales fonctions, il peut effacer les journaux d’événements pour masquer ses traces et ses opérations. Mais aussi détecter si des outils d’analyses sont présents avant d’agir. Ainsi qu’exécuter des commandes et modifier le registre Windows à votre insu depuis un serveur distant.
Toutes les capacités techniques de StilachiRAT
StilachiRAT est doté d’un large éventail de fonctionnalités malveillantes, détaillées dans le tableau suivant, qui illustrent son impact potentiel :
| Capacité | Description |
| Reconnaissance système | Collecte des détails sur le système d’exploitation, les identifiants matériels, la présence de caméra, les sessions RDP actives et les applications GUI, via WMI/WQL. |
| Ciblage des portefeuilles numériques | Scanne 20 extensions de portefeuilles de cryptomonnaies dans Chrome, comme MetaMask (nkbihfbeogaeaoehlefnkodbefgpgknn) et Bitget Wallet (jiidiaalihmmhddjgbnbgdfflelocpak). |
| Vol d’identifiants | Extrait et décrypte les identifiants enregistrés dans Chrome à partir de fichiers locaux, en utilisant des requêtes SQLite. |
| Connectivité C2 | Utilise les ports TCP 53, 443 ou 16000, avec un délai de 2 heures avant la première connexion, et communique avec des serveurs comme app.95560[.]cc ou 194.195.89[.]47. Vérifie la présence de tcpview.exe pour éviter la détection. |
| Exécution de commandes | Prends en charge 10 commandes, incluant le redémarrage du système, l’effacement des journaux, la manipulation du registre, l’exécution d’applications et la suspension du système, via le serveur C2. |
| Mécanismes de persistance | Utilise le SCM Windows, des threads de surveillance pour recréer des fichiers EXE/DLL supprimés, et modifie le registre pour assurer le redémarrage du service. |
| Surveillance RDP | Capture les informations de la fenêtre active, duplique les jetons de sécurité pour le mouvement latéral, et énumère les sessions RDP. |
| Collecte de données et presse-papiers | Surveille en continu le presse-papiers pour des mots de passe ou clés de cryptomonnaies (ex. : adresses TRX avec le modèle \bT[0-9a-zA-Z]{33}\b), suit les fenêtres actives, et scanne des répertoires comme %USERPROFILE%\Desktop. |
| Anti-forensique et évasion | Efface les journaux d’événements (ID 1102, 104), détecte les outils d’analyse, utilise des comportements pour éviter les environnements de sandbox, et masque les API Windows avec des sommes de contrôle XOR. |
Comment se propage-t-il ?
Pour l’instant, il est difficile d’isoler vraiment un vecteur exact de diffusion de ce RAT. Il est fort probable qu’il utilise des techniques habituelles de masse comme :
- Emails d’hameçonnage contenant des liens ou des pièces jointes malveillants.
- Sites web compromis qui infectent votre ordinateur lors d’une visite.
- Téléchargements douteux déguisés en logiciels légitimes.
Aussi, plus précis, des outils d’analyse comme TradingView qui ont des options payantes peuvent trouver des versions dites crackés avec tout gratuitement. Il ne serait pas étonnant qu’à l’intérieur se cache ce fameux RAT qui vient cibler des particuliers qui ont de forte chances de posséder des cryptos s’ils souhaitent analyser le marché.
Enfin, il ne faut jamais oublier la règle d’or. Ne téléchargez et n’installez jamais de programmes ou extensions qui ne proviennent pas de sources officielles ou bien vérifiées depuis longtemps. Ne croyez pas aux mails qui vous offrent monts et merveilles et faites attentions à ceux qui vous alertent d’une faille de sécurité, vérifiez la source.
Comment vous protéger ?
Ne paniquez pas, déjà premièrement, une première mesure serait de transférer vos actifs vers un wallet mobile comme Best Wallet. Le risque zéro n’existe pas, mais dans la mesure où vous n’êtes pas sûr d’être en sécurité, cela ne coûte presque rien.
D’abord, mettez à jour votre système d’exploitation Microsoft étant pointu sur le sujet, c’est déjà une bonne base.
Ensuite, installez un antivirus fiable, Malware Bytes ou autre et mettez-le à jour régulièrement.
Aussi, activez toutes les sécurités sur votre navigateur protégeant votre navigation.
Enfin, soyez prudent avec vos emails, un simple PDF peut suffire à vous infecter.
Pour finir, désactiver les extensions inutiles dans Chrome pour limiter les points d’entrées sur votre machine.
Avec toutes ces mesures, les chances que ce RAT vous infecte et en plus cause des dégâts sont fortement réduits. Les virus profitent 99 % du temps d’une vulnérabilité de l’utilisateur plutôt que d’une machine peu protégée.
Pour conclure, StilachiRAT est un danger réel pour tout holder de crypto-monnaies. Cependant, des mesures de sécurités détaillées plus haut et l’action de Microsoft déjà en place vous protégeront. Adoptez ses réflexes simples et périodiques pour votre sécurité.
Vos actifs sont précieux, ne laissez pas un programme que vous pouvez facilement contrer, profiter de vous et vous les arracher.
Pour aller plus loin :
- Les points à surveiller pour un éventuel rebond du marché crypto en mars
- Manipulation de marché par Trump, comment éviter les pièges ?
- La Corée Du Sud prochain pays à se doter d’une réserve crypto ?
Pourquoi vous pouvez faire confiance à 99Bitcoins
Fondée en 2013, les membres de l’équipe de 99Bitcoin sont des experts en cryptographie depuis les débuts de Bitcoin.
Recherche hebdomadaire
100k+Les lecteurs mensuels
Contributeurs experts
2000+Projets de crypto-monnaie examinés
Cours gratuit sur le Bitcoin
- Plus de 100 000 étudiants satisfaits.
- Un email par jour, 7 jours d'affilé.
- Court et éducatif, garanti!
Une grosse pression haussière sur Bitcoin suite aux potentiels pourparlers entre la Chine et les USA
Bitcoin en route pour les 100 000 dollars ?
Quelle place pour les altcoins dans la progression récente du Bitcoin ?
Une semaine intéressante pour les marchés, grosse volatilité attendue sur les cryptos
Découvrez cette nouvelle plateforme de contenu crypto avec IA qui récolte 100 000 $ en un temps record
