一种新发现的远程访问木马（RAT）被称为StilachiRAT，专门针对加密货币用户，通过窃取数字钱包凭证和外泄敏感数据。微软事件响应研究人员在2025年3月17日发布的报告中详细介绍了该恶意软件的能力，强调其专注于攻陷存储加密货币钱包扩展和保存登录凭证的Google Chrome用户。

根据微软的说法：

StilachiRAT针对Google Chrome浏览器的一系列特定加密货币钱包扩展。

该恶意软件扫描20种不同的钱包扩展，包括Bitget Wallet（前身为Bitkeep）、Trust Wallet、Tronlink、Metamask（以太坊）、Tokenpocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、Confluxportal和Plug，允许攻击者提取数字资产信息。

除了针对加密货币钱包，StilachiRAT还通过绕过加密机制窃取Google Chrome中存储的登录凭证。报告解释道：“StilachiRAT从用户目录中的本地状态文件中提取Google Chrome的加密密钥。然而，由于该密钥在Chrome首次安装时是加密的，它使用依赖于当前用户上下文的Windows API来解密主密钥。这使得访问密码库中存储的凭证成为可能。”

这使得攻击者能够检索与金融账户相关的用户名和密码，进一步增加了受害者数字资产的风险。此外，StilachiRAT建立了一个命令与控制（C2）连接，允许远程操作员执行命令、操纵系统进程，并在初次检测后保持持久性。

该恶意软件还持续监控剪贴板数据，以提取加密货币密钥和敏感财务信息。微软的报告指出：

剪贴板监控是持续的，针对敏感信息（如密码、加密货币密钥和潜在的个人标识符）进行有针对性的搜索。

通过扫描与加密货币地址相关的特定模式，StilachiRAT可以拦截并替换复制的钱包地址，将交易重定向到攻击者控制的目的地。为了降低风险，微软建议用户实施安全措施，例如启用微软Defender保护、使用安全浏览器以及避免未经验证的下载。随着威胁环境的演变，网络安全专家敦促加密货币持有者保持警惕，以防新出现的恶意软件利用数字资产。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。