微軟事件回應團隊發現了一種新型遠端存取木馬(RAT),專門針對數位錢包擴充功能以盜取加密貨幣資產。這款被命名為 StilachiRAT 的惡意程式,能夠蒐集系統資訊、竊取登入資料,並可跨平台盜取加密貨幣錢包中的數據。
該木馬特別針對至少 20 款 Google Chrome 熱門加密貨幣錢包擴充功能,包括廣泛使用的 Metamask、Trust Wallet、Coinbase Wallet 及 Phantom。微軟調查顯示,這種惡意程式能存取登錄檔設定,以確認已安裝哪些擴充功能。一旦辨識出相關擴充功能,便可提取敏感資料,讓攻擊者有可能存取受害者的數位資產。
微軟於 3 月 17 日發布的安全公告中指出:「StilachiRAT 會針對 Google Chrome 的特定加密貨幣錢包擴充功能清單,透過取用登錄檔來驗證這些擴充功能是否已安裝。」雖然這款惡意程式尚未廣泛散播,但安全專家因其複雜性及潛在威脅表達高度關切。
木馬的攻擊週期始於偵查階段,蒐集受害者作業系統、硬體辨識碼及活動工作階段等資訊。隨後會集中於入侵認證資料,鎖定 Chrome 儲存的密碼,同時監控剪貼簿資料,因為使用者常在此處複製包含錢包密鑰或密碼的敏感資訊。這種多階段手法讓攻擊者可在行竊前取得完整資訊。
微軟的安全團隊特別指出 StilachiRAT 的反鑑識能力令人憂慮。該木馬能刪除事件日誌並評估系統狀態,以避開偵測機制。這些規避技術使得一般安全工具辨識和清除此威脅變得非常困難。
為降低風險,微軟建議用戶立即採取多項資安措施。「有些遠端存取木馬會偽裝成合法軟體或更新。應僅從官方網站或可靠來源下載軟體,」微軟在安全公告中強調。同時,建議啟用 Microsoft Defender 的即時防護,以及在瀏覽器中開啟 SmartScreen 功能以阻擋惡意網站。
額外建議還包括全帳號啟用多重驗證,以及保持所有應用程式定期更新。這些基本防護措施可大幅降低遭受相關威脅的風險。
此發現正值全球對加密貨幣犯罪日益擔憂。根據 Chainalysis 2025 年加密犯罪趨勢報告,目前非法加密貨幣交易規模每年約介於 400 億至 500 億美元。這些資金主要經由勒索軟體攻擊、高階惡意程式及其他網路犯罪所得。
報告進一步預估,2024 年非法加密交易總額有可能超過 510 億美元,意味著報告期間的年均成長達 25%。這代表著針對數位資產的攻擊越趨複雜,隨著加密貨幣普及化,相關威脅亦持續升溫。
資安分析師強調,隨著加密貨幣更為普及,用戶將面臨愈趨針對性的攻擊企圖。StilachiRAT 的出現,進一步展現網路犯罪者在攻擊數位資產持有人手法上的新一輪進化。