Una nueva cepa de malware identificada como Stealka está robando criptomonedas haciéndose pasar por trucos de juegos, cracks de software y mods populares, usando plataformas de descarga de confianza y sitios web falsos para engañar a los usuarios y infectar sus propios dispositivos.
Investigadores de ciberseguridad de Kaspersky dicen que este ladrón de información para Windows ha estado circulando activamente al menos desde noviembre, y tiene como objetivo datos del navegador, aplicaciones instaladas localmente y monederos de criptomonedas tanto basados en navegador como de escritorio.
Una vez ejecutado, Stealka es capaz de secuestrar cuentas en línea, vaciar fondos en criptomonedas y, en algunos casos, instalar un criptominero para monetizar aún más los sistemas infectados.
Se propaga mediante trucos de juegos y software pirateado
Según el análisis de Kaspersky, Stealka se propaga principalmente a través de archivos que los propios usuarios descargan y ejecutan voluntariamente.
El malware suele disfrazarse como versiones crackeadas de software comercial o como trucos y mods para juegos populares, distribuidos mediante plataformas muy utilizadas como GitHub, SourceForge, Softpedia y Google Sites.
En varios casos, los atacantes cargaron archivos maliciosos en repositorios legítimos, aprovechando la credibilidad de estas plataformas para reducir las sospechas.
Paralelamente, los investigadores observaron sitios web falsos, diseñados de forma profesional, que ofrecían software pirateado o scripts para juegos.
Estos sitios suelen mostrar resultados falsos de análisis antivirus para crear la impresión de que las descargas son seguras.
En realidad, los nombres de archivo y las descripciones de las páginas solo sirven como señuelo; el contenido descargado contiene de forma consistente la misma carga útil del ladrón de información.
El malware apunta a navegadores, monederos y aplicaciones locales
Una vez instalado, Stealka se centra fuertemente en navegadores web basados en Chromium y Gecko, exponiendo a usuarios de más de un centenar de navegadores al robo de datos.
El malware extrae credenciales de inicio de sesión guardadas, datos de autocompletado, cookies y tokens de sesión, lo que permite a los atacantes omitir la autenticación de dos factores y tomar el control de cuentas sin necesidad de contraseñas.
Las cuentas comprometidas se utilizan luego para distribuir aún más el malware, incluso a través de comunidades de videojuegos.
Stealka también apunta a extensiones de navegador vinculadas a monederos de criptomonedas, gestores de contraseñas y herramientas de autenticación. Los investigadores identificaron intentos de recolectar datos de extensiones vinculadas a monederos cripto importantes como MetaMask, Trust Wallet y Phantom, así como de servicios de contraseña y autenticación como Bitwarden, Authy y Google Authenticator.
Más allá de los navegadores, el malware recopila archivos de configuración y datos locales de decenas de aplicaciones de escritorio.
Esto incluye monederos de criptomonedas independientes que pueden almacenar claves privadas cifradas y metadatos de monederos, aplicaciones de mensajería, clientes de correo electrónico, software de VPN, herramientas de toma de notas y lanzadores de juegos.
Por qué es importante
El acceso a esta información permite a los atacantes robar fondos, restablecer credenciales de cuentas y ocultar actividades maliciosas adicionales.
El malware además recopila información del sistema y captura capturas de pantalla de los dispositivos infectados.
Kaspersky advirtió que la campaña de Stealka pone de relieve la creciente superposición entre la piratería, las descargas relacionadas con videojuegos y el cibercrimen financiero, e instó a los usuarios a evitar fuentes de software no confiables y a tratar trucos, mods y cracks como archivos de alto riesgo.