Varian malware yang baru diidentifikasi bernama Stealka mencuri aset kripto dengan menyamar sebagai cheat game, crack software dan mod populer, menggunakan platform unduhan tepercaya dan situs palsu untuk menipu pengguna agar menginfeksi perangkat mereka sendiri.
Peneliti keamanan siber di Kaspersky mengatakan infostealer berbasis Windows ini telah aktif beredar setidaknya sejak November, menargetkan data browser, aplikasi yang terpasang secara lokal serta dompet kripto berbasis browser maupun desktop.
Setelah dieksekusi, Stealka mampu membajak akun online, menguras saldo kripto dan, dalam beberapa kasus, memasang crypto miner untuk terus memonetisasi sistem yang terinfeksi.
Menyebar Melalui Cheat Game Dan Software Bajakan
Menurut analisis Kaspersky, Stealka terutama menyebar melalui file yang diunduh dan dijalankan secara sukarela oleh pengguna.
Malware ini biasanya menyamar sebagai versi crack software komersial atau sebagai cheat dan mod untuk game populer, didistribusikan melalui platform yang banyak digunakan seperti GitHub, SourceForge, Softpedia dan Google Sites.
Dalam beberapa kasus, pelaku mengunggah file berbahaya ke repositori resmi, memanfaatkan kredibilitas platform untuk menurunkan kecurigaan.
Secara paralel, peneliti mengamati situs palsu yang dirancang secara profesional yang menawarkan software bajakan atau skrip game.
Situs-situs ini sering menampilkan hasil pemindaian antivirus palsu untuk menciptakan kesan bahwa unduhan aman.
Pada kenyataannya, nama file dan deskripsi halaman hanya berfungsi sebagai umpan; konten unduhan secara konsisten berisi payload infostealer yang sama.
Malware Menargetkan Browser, Dompet Dan Aplikasi Lokal
Setelah terpasang, Stealka sangat berfokus pada browser web berbasis Chromium dan Gecko, sehingga lebih dari seratus browser berisiko mengalami pencurian data.
Malware ini mengekstrak kredensial login yang tersimpan, data isi otomatis, cookie dan token sesi, memungkinkan pelaku melewati autentikasi dua faktor dan mengambil alih akun tanpa kata sandi.
Akun yang telah dikompromikan kemudian digunakan untuk menyebarkan malware lebih jauh, termasuk melalui komunitas gaming.
Stealka juga menargetkan ekstensi browser yang terhubung ke dompet kripto, pengelola kata sandi dan alat autentikasi. Peneliti mengidentifikasi upaya pengambilan data dari ekstensi yang terhubung ke dompet kripto besar seperti MetaMask, Trust Wallet dan Phantom, serta layanan kata sandi dan autentikasi termasuk Bitwarden, Authy dan Google Authenticator.
Di luar browser, malware ini mengumpulkan file konfigurasi dan data lokal dari puluhan aplikasi desktop.
Ini mencakup dompet kripto mandiri yang mungkin menyimpan kunci privat terenkripsi dan metadata dompet, aplikasi pesan instan, klien email, software VPN, aplikasi pencatat dan peluncur game.
Mengapa Hal Ini Penting
Akses ke informasi ini memungkinkan pelaku mencuri dana, mereset kredensial akun dan menyembunyikan aktivitas jahat lanjutan.
Malware tersebut juga mengumpulkan informasi sistem dan menangkap tangkapan layar dari perangkat yang terinfeksi.
Kaspersky memperingatkan bahwa kampanye Stealka menyoroti meningkatnya tumpang tindih antara pembajakan, unduhan terkait game dan kejahatan siber finansial, serta mendesak pengguna untuk menghindari sumber software yang tidak tepercaya dan menganggap cheat, mod dan crack sebagai file berisiko tinggi.