Eine neu identifizierte Malware-Familie namens Stealka stiehlt Kryptowährungen, indem sie sich als Spiel-Cheats, Software-Cracks und beliebte Mods ausgibt und vertrauenswürdige Download-Plattformen sowie gefälschte Websites nutzt, um Nutzer dazu zu bringen, ihre eigenen Geräte zu infizieren.
Cybersicherheitsforscher bei Kaspersky sagen, dass der Windows-basierte Infostealer mindestens seit November aktiv im Umlauf ist und Browserdaten, lokal installierte Anwendungen sowie browserbasierte und Desktop-Krypto-Wallets ins Visier nimmt.
Nach der Ausführung ist Stealka in der Lage, Online-Konten zu kapern, Kryptowährungsbestände zu leeren und in einigen Fällen einen Crypto-Miner zu installieren, um infizierte Systeme zusätzlich zu monetarisieren.
Verbreitung über Spiel-Cheats und raubkopierte Software
Laut Kasperskys Analyse verbreitet sich Stealka hauptsächlich über Dateien, die Nutzer freiwillig herunterladen und ausführen.
Die Malware tarnt sich häufig als geknackte Versionen kommerzieller Software oder als Cheats und Mods für beliebte Spiele und wird über weit verbreitete Plattformen wie GitHub, SourceForge, Softpedia und Google Sites verteilt.
In mehreren Fällen luden Angreifer bösartige Dateien in legitime Repositorien hoch und verließen sich auf die Glaubwürdigkeit der Plattformen, um den Verdacht zu verringern.
Parallel dazu beobachteten Forscher professionell gestaltete gefälschte Websites, die raubkopierte Software oder Spiel-Skripte anbieten.
Diese Seiten zeigen oft gefälschte Antiviren-Scan-Ergebnisse an, um den Eindruck zu erwecken, dass Downloads sicher seien.
In Wirklichkeit dienen die Dateinamen und Seitenbeschreibungen nur als Köder; die heruntergeladenen Inhalte enthalten durchgängig dieselbe Infostealer-Nutzlast.
Malware zielt auf Browser, Wallets und lokale Anwendungen
Nach der Installation konzentriert sich Stealka stark auf Webbrowser, die auf Chromium und Gecko basieren, und setzt damit Nutzer von mehr als hundert Browsern dem Risiko eines Datendiebstahls aus.
Also lesen: ING Flags Deep Shift As China, India And Brazil Reduce Billions Of U.S. Treasury Holdings In A Single Month
Die Malware extrahiert gespeicherte Anmeldedaten, Autofill-Informationen, Cookies und Session-Tokens und ermöglicht es Angreifern so, Zwei-Faktor-Authentifizierung zu umgehen und Konten ohne Passwörter zu übernehmen.
Kompromittierte Konten werden anschließend genutzt, um die Malware weiter zu verbreiten, unter anderem in Gaming-Communitys.
Stealka zielt außerdem auf Browsererweiterungen, die mit Kryptowährungs-Wallets, Passwort-Managern und Authentifizierungswerkzeugen verbunden sind. Forscher stellten Versuche fest, Daten aus Erweiterungen zu erbeuten, die mit großen Krypto-Wallets wie MetaMask, Trust Wallet und Phantom verknüpft sind, sowie aus Passwort- und Authentifizierungsdiensten wie Bitwarden, Authy und Google Authenticator.
Über Browser hinaus sammelt die Malware Konfigurationsdateien und lokale Daten aus Dutzenden von Desktop-Anwendungen.
Dazu gehören eigenständige Krypto-Wallets, die verschlüsselte private Schlüssel und Wallet-Metadaten speichern können, Messenger-Apps, E-Mail-Clients, VPN-Software, Notiz-Tools und Gaming-Launcher.
Warum das wichtig ist
Der Zugriff auf diese Informationen ermöglicht es Angreifern, Gelder zu stehlen, Kontozugangsdaten zurückzusetzen und weitere bösartige Aktivitäten zu verschleiern.
Zusätzlich sammelt die Malware Systeminformationen und fertigt Screenshots infizierter Geräte an.
Kaspersky warnte, dass die Stealka-Kampagne die wachsende Überschneidung zwischen Piraterie, Gaming-bezogenen Downloads und finanzieller Cyberkriminalität verdeutlicht, und riet Nutzern, unzuverlässige Softwarequellen zu meiden und Cheats, Mods und Cracks als Hochrisiko-Dateien zu betrachten.
Als Nächstes lesen: Bitcoin's Hidden Vulnerability Exposed: How Quantum Computers Could Steal Billions Before We're Ready