StilachiRAT, một trojan mới, nhắm mục tiêu đến 20 tiện ích mở rộng ví tiền mã hóa trên Chrome, đe dọa tài sản số.
Ngày 17/3, Microsoft phát đi cảnh báo về một mối đe dọa bảo mật mới nhắm vào người dùng tiền mã hóa: một trojan truy cập từ xa (Remote Access Trojan – RAT) có tên gọi StilachiRAT. Phần mềm độc hại này được thiết kế đặc biệt để đánh cắp thông tin từ các ví tiền mã hóa được cài đặt dưới dạng tiện ích mở rộng (extension) trên trình duyệt Google Chrome.
Đội phản ứng sự cố của Microsoft cho biết họ đã phát hiện StilachiRAT lần đầu vào tháng 11 năm 2023. Trojan này có khả năng xâm nhập và đánh cắp nhiều loại dữ liệu nhạy cảm, bao gồm thông tin đăng nhập trình duyệt, dữ liệu ví tiền mã hóa và dữ liệu được lưu trữ trong clipboard.
StilachiRAT hoạt động bằng cách quét cài đặt thiết bị của người dùng để xác định xem có bất kỳ tiện ích mở rộng ví tiền mã hóa nào trong số 20 tiện ích phổ biến đang được sử dụng hay không. Danh sách mục tiêu bao gồm các ví tiền mã hóa hàng đầu như Coinbase Wallet, Trust Wallet, MetaMask và OKX Wallet.
Microsoft giải thích rằng module WWStartupCtrl64.dll của StilachiRAT chứa các chức năng RAT, cho phép nó sử dụng nhiều phương thức khác nhau để đánh cắp thông tin từ hệ thống bị nhiễm. Không chỉ dừng lại ở việc đánh cắp dữ liệu ví, trojan này còn có khả năng trích xuất thông tin đăng nhập được lưu trữ trong file trạng thái cục bộ của Google Chrome. Đồng thời, nó liên tục giám sát clipboard để thu thập các dữ liệu nhạy cảm như mật khẩu và khóa riêng tư (private key) của ví tiền mã hóa.
Để tránh bị phát hiện và gây khó khăn cho quá trình phân tích, StilachiRAT được trang bị các tính năng né tránh và chống pháp y (anti-forensics), bao gồm xóa nhật ký sự kiện và kiểm tra xem liệu nó có đang chạy trong môi trường sandbox hay không.
Mặc dù Microsoft chưa xác định được danh tính của kẻ đứng sau StilachiRAT, công ty hy vọng rằng việc công khai thông tin này sẽ giúp nâng cao nhận thức và giảm thiểu số lượng nạn nhân tiềm năng. Microsoft nhấn mạnh rằng, mặc dù malware này chưa lây lan rộng, nhưng với các tính năng tàng hình và sự phát triển nhanh chóng của các mối đe dọa, việc cảnh báo sớm là cần thiết.
Microsoft khuyến nghị người dùng tăng cường bảo mật bằng cách sử dụng phần mềm diệt virus, các biện pháp bảo vệ chống lừa đảo và phần mềm độc hại trên nền tảng đám mây.
Cảnh báo này được đưa ra trong bối cảnh tội phạm mạng liên quan đến tiền mã hóa ngày càng gia tăng và tinh vi hơn. Theo công ty bảo mật blockchain CertiK, tổng thiệt hại từ các vụ lừa đảo, khai thác và tấn công trong tháng 2 đã lên tới 1,53 tỷ USD.
Báo cáo “Crypto Crime Report 2025” của Chainalysis cũng chỉ ra rằng tội phạm tiền mã hóa đang bước vào giai đoạn chuyên nghiệp hóa, với sự xuất hiện của các vụ lừa đảo do AI điều khiển, hoạt động rửa tiền bằng stablecoin và các tổ chức tội phạm mạng hoạt động hiệu quả. Năm 2024 đã chứng kiến 51 tỷ USD liên quan các giao dịch bất hợp pháp.
