微軟事故回應團隊發現了一款新型的遠程存取木馬 (RAT) 案例,專門針對數碼錢包擴充功能而設計,有效入侵並竊取加密貨幣資產。這款被命名為 StilachiRAT 的惡意軟件可以收集系統資料、盜取登入憑證,以及跨多個平台提取加密貨幣錢包資料。
木馬針對至少 20 款 Google Chrome 熱門加密貨幣錢包擴充功能,包括 Metamask、Trust Wallet、Coinbase Wallet 及 Phantom 等廣泛使用的選項。微軟的調查發現,這款惡意軟件能夠讀取註冊表設置去驗證安裝了哪些擴充功能。一旦識別後,便可以提取敏感資料,令攻擊者有機會取得事主的數碼資產。
微軟在 3 月 17 日發佈的安全公告中指出:「StilachiRAT 會針對 Google Chrome 瀏覽器一批特定的加密貨幣錢包擴充功能,進入以下註冊表鍵值的設置並驗證是否有安裝相關擴充功能。」雖然這木馬暫未大規模流傳,但安全專家對其複雜度和潛在影響表示高度關注。
惡意軟件攻擊循環以偵察階段開始,包括收集受害用戶的作業系統相關資訊、硬件識別碼和活躍會話。隨後會重點針對憑證竊取,攻擊者會尋找 Chrome 儲存的密碼及監控剪貼簿內容,以取得如錢包金鑰或密碼等敏感資料。這種多階段方式讓攻擊者在行動前可收集全面資料。
微軟安全團隊特別指出 StilachiRAT 的先進反取證能力,令人擔憂。木馬可刪除事件日誌,同時評估系統狀態以迴避偵測,大大增加一般安全工具辨識及清除的難度。
為減低風險,微軟建議用戶即時實行多項安全措施:「部分遠程存取木馬會偽裝成合法軟件或更新程式。務必只從官方網站或可信來源下載軟件。」微軟同時建議啟用 Microsoft Defender 的即時防護功能,並選用具備 SmartScreen 功能的瀏覽器以攔截惡意網站。
其他建議還包括所有帳戶啟用多重身份驗證,以及保持所有應用程式定期更新。這些基本措施有助大幅減少中招風險。
此發現出現於加密貨幣相關犯罪問題日益受關注之際。根據 Chainalysis 2025 年加密犯罪趨勢報告,每年非法加密貨幣交易額介乎 400 至 500 億美元,涉及的資金來源包括勒索軟件、高階惡意軟件行動及其他網絡犯罪。
報告進一步預測,2024 年非法加密交易金額可超過 510 億美元,按年平均上升 25%。這反映隨著加密貨幣普及,針對數碼資產的攻擊手法愈發精密。
安全分析師強調,隨著加密貨幣資產普及,針對用戶的攻擊只會愈來愈針對性。StilachiRAT 的發現,象徵網絡罪犯針對加密持有人戰術的重大躍進。