StilachiRAT : Microsoft met en garde contre un malware redoutable ciblant les wallets crypto

1. StilachiRAT est un malware sophistiqué qui cible les utilisateurs de wallets crypto via Google Chrome, capable de voler des identifiants et des clés privées en contournant les systèmes de détection.
2. Ce cheval de Troie utilise des techniques avancées telles que la suppression des logs système, l’exploitation de Windows Management Instrumentation (WMI) et l’exécution de commandes à distance pour persister et échapper aux analyses.
3. Microsoft recommande des mesures de protection, notamment les mises à jour régulières, l’authentification multifactorielle, mais l’usage d’un hardware wallet reste la seule solution fiable pour sécuriser les clés privées.

Un nouveau cheval de Troie à l’assaut des portefeuilles numériques

Microsoft tire la sonnette d’alarme : un malware sophistiqué, baptisé StilachiRAT, cible activement les utilisateurs de portefeuilles crypto via Google Chrome. Détecté pour la première fois en novembre 2024, ce Remote Access Trojan (RAT) se distingue par sa capacité à déjouer les systèmes de détection, persister sur les machines infectées et voler des informations sensibles, notamment les identifiants stockés dans le navigateur. Parmi les cibles identifiées figurent des wallets populaires comme MetaMask, Coinbase Wallet, Phantom, OKX Wallet et BNB Chain Wallet.

Une menace insidieuse et difficile à détecter

StilachiRAT ne se contente pas de siphonner les informations des utilisateurs : il s’adapte et se dissimule dans l’environnement infecté. Son fonctionnement repose sur des techniques avancées, notamment :

• L’utilisation de Windows Management Instrumentation (WMI) pour collecter discrètement des données sans éveiller les suspicions.
• L’effacement des logs système pour masquer toute trace d’activité malveillante.
• La détection des outils d’analyse forensic et des machines virtuelles pour éviter d’être identifié par les chercheurs en cybersécurité.
• L’exécution de commandes à distance, donnant aux attaquants un contrôle total sur la machine infectée.

Ces caractéristiques en font un adversaire redoutable, capable de rester actif pendant une longue période sans alerter l’utilisateur.

Des crypto en ligne de mire : comment StilachiRAT attaque les wallets ?

L’un des aspects les plus inquiétants de StilachiRAT est son expertise en vol de cryptomonnaies. Ce malware ne se contente pas de récupérer des mots de passe : il est spécialement conçu pour extraire les clés privées stockées dans les extensions de navigateur. Une fois ces clés compromises, l’attaquant peut vider les portefeuilles de ses victimes sans aucun recours possible.

Le malware utilise plusieurs techniques pour compromettre les wallets :

• Vol des identifiants stockés dans le navigateur (Google Chrome en priorité).
• Surveillance du presse-papiers afin de détecter et modifier les adresses de réception de cryptomonnaies.
• Suivi des sessions à distance (RDP) pour capturer les actions de l’utilisateur.
• Exécution de commandes à distance permettant aux attaquants de prendre le contrôle du système.

Un fléau grandissant dans l’univers cybercriminel

StilachiRAT s’inscrit dans une tendance inquiétante : les cybercriminels développent des outils de plus en plus sophistiqués pour exploiter les failles des utilisateurs de cryptomonnaies. Ce malware n’est qu’un maillon d’une chaîne plus large qui inclut :

• Des bootkits capables de modifier le firmware des ordinateurs pour un accès persistant.
• Des portes dérobées (IIS backdoors) utilisées pour exécuter des commandes à l’insu des victimes.
• Des implants Windows dédiés à l’espionnage et au vol de données sensibles.

Le constat est clair : les cryptostealers sont désormais une brique essentielle de ces cyberattaques, et chaque nouvelle intrusion dans un système pourrait mener à une compromission des fonds stockés en ligne.

Comment se protéger contre StilachiRAT et les menaces similaires ?

Microsoft recommande plusieurs bonnes pratiques pour se prémunir contre cette menace :

• Mettre à jour régulièrement son système d’exploitation et ses logiciels afin de combler les vulnérabilités exploitées par ces malwares.
• Utiliser un antivirus ou une solution de protection avancée (EDR) pour détecter et neutraliser les RATs.
• Activer l’authentification multifactorielle (MFA) pour sécuriser l’accès aux plateformes sensibles.
• Éviter de télécharger des fichiers suspects ou de cliquer sur des liens non vérifiés.
• Surveiller les logs système pour détecter toute activité anormale.

Cependant, ces mesures ne suffisent pas toujours face à une attaque ciblée sur les portefeuilles crypto.

Le danger des wallets sur navigateur : une vulnérabilité structurelle

Les wallets basés sur navigateur sont par nature vulnérables. StilachiRAT le démontre encore une fois : si une clé privée est stockée dans un environnement logiciel, elle peut être compromise. Or, une fois volée, aucune authentification supplémentaire ni réinitialisation ne peuvent empêcher le hacker de siphonner les fonds.

La seule solution efficace : un hardware wallet

Les experts en sécurité, dont Charles Guillemet, CTO de Ledger, rappellent qu’un hardware wallet reste la seule protection fiable contre ces attaques. Contrairement aux wallets logiciels, un wallet physique :

• Stocke les clés privées dans une puce sécurisée, hors de portée des malwares.
• Nécessite une validation physique pour toute transaction, rendant impossible un vol à distance.
• Est immunisé contre le vol d’identifiants, l’enregistrement des frappes clavier et la modification du presse-papiers.

Même si un utilisateur est infecté par StilachiRAT, ses fonds restent protégés tant qu’ils sont stockés sur un hardware wallet.