Un nouveau cheval de Troie surveillé de près par Microsoft cible les cryptowallets et les identifiants stockés dans Chrome. Discret, persistant et conçu pour brouiller les pistes, il adopte des techniques avancées qui compliquent sa détection et son éradication.

StilachiRAT : Microsoft alerte sur un nouveau trojan voleur de cryptos et de mots de passe © TY Lim / Shutterstock
StilachiRAT : Microsoft alerte sur un nouveau trojan voleur de cryptos et de mots de passe © TY Lim / Shutterstock

Sa portée est encore limitée, mais ses capacités inquiètent déjà Redmond. Repéré dès novembre 2024 par les équipes de Microsoft Incident Response, StilachiRAT est un cheval de Troie d’accès à distance (RAT) conçu pour cibler les portefeuilles crypto intégrés à Google Chrome et les mots de passe enregistrés dans le navigateur. Bien que détecté dans des attaques ciblées, Microsoft estime qu’il concentre des caractéristiques suffisamment dangereuses pour justifier une alerte générale.

Gare aux infos copiées dans le presse-papiers

Techniques d’évasion avancées, installation durable sur les systèmes compromis et réactivation automatique en cas de suppression : s’il vous fallait une bonne raison de prendre la menace au sérieux, en voici trois.

Étroitement surveillé par les équipes de sécurité de Microsoft depuis quelques mois maintenant, StilachiRAT ne fait rien dans la demi-mesure. Sa spécialité : siphonner les cryptowallets intégrés à Google Chrome et intercepter les mots de passe enregistrés dans le navigateur.

Dans le détail, la menace principale repose sur le module WWStartupCtrl64.dll. C’est lui qui pilote les différentes actions du malware. Une fois activé sur un appareil compromis, il analyse les fichiers de configuration du navigateur et scanne les extensions installées à la recherche d’identifiants de portefeuilles crypto synchronisés. Au total, Microsoft confirme avoir identifié une vingtaine de plugins ciblés, parmi lesquels MetaMask, Coinbase et Trust Wallet.

En parallèle, il s’octroie et conserve un accès permanent au presse-papiers, ce qui lui permet d’intercepter en continu les clés d’accès privées, mots de passe, données personnelles sensibles copiés par la victime.

Évidemment, à malware vicieux, techniques de persistances sournoises. Une fois déployé, StilachiRAT veille à rester indélogeable, en partie grâce à un mécanisme de surveillance interne (watchdog threads) qui lui permet de détecter toute suppression de ses instances, et de les restaurer à partir de copies cachées. Il s’appuie également sur le gestionnaire de contrôle des services Windows (SCM) pour s’exécuter automatiquement après chaque redémarrage, chose qui rend son éradication particulièrement complexe.

Pour brouiller les pistes, il efface systématiquement les journaux d’événements Windows, masque ses activités, chiffre ses appels aux API système, édite la base de Registre. S’il détecte un environnement de test ou une sandbox, il modifie son comportement pour empêcher toute analyse approfondie. Enfin, il établit des connexions via des ports parfois inhabituels pour exfiltrer les données volées.

Bref, pour espérer le détecter et s’en débarrasser, il faudra faire preuve de ténacité.

StilachiRAT scanne les fichiers de configuration et le presse-papiers à la recherche d'identifiants et de clés d'accès aux cryptowallets © MarutStudio / Shutterstock
StilachiRAT scanne les fichiers de configuration et le presse-papiers à la recherche d'identifiants et de clés d'accès aux cryptowallets © MarutStudio / Shutterstock

Mieux vaut prévenir que guérir

Faut-il donc paniquer ? Pas encore tout à fait. D’après Microsoft, StilachiRAT reste, pour le moment, une menace ciblée. Mais ses capacités malveillantes avancées doivent malgré tout appeler à la vigilance.

Gardez aussi en tête que le malware ne cherche pas à exploiter une faille technique dans Chrome ou Windows. Il s’attaque plutôt aux habitudes des internautes, en misant sur le stockage des identifiants dans le navigateur ou sur l’usage répété du presse-papiers. Autrement dit, il ne suffit pas d’un correctif pour s’en protéger.

Quelques ajustements permettent néanmoins de réduire considérablement les risques. Évitez d’enregistrer vos identifiants dans Chrome ou tout autre navigateur, et privilégiez un gestionnaire de mots de passe dédié. Activez l’authentification à deux facteurs (2FA) sur tous vos comptes sensibles, et si possible, optez pour une clé physique type YubiKey, encore plus sécurisée. Pour les cryptos, même logique : dans la mesure du possible, privilégiez les wallets physiques.

Enfin, comme toujours, téléchargez vos logiciels à partir de sources officielles ou de plateformes reconnues uniquement, méfiez-vous des mises à jour qui ne passent pas par les canaux habituels, et activez votre antivirus.

Source : Microsoft

À découvrir
Meilleur antivirus, le comparatif en mars 2025

27 février 2025 à 09h45

Comparatifs services