Un nuovo ceppo di malware noto come Stealka sta rubando criptovalute fingendosi cheat per videogiochi, crack di software e mod popolari, usando piattaforme di download considerate affidabili e siti web falsi per indurre gli utenti a infettare i propri dispositivi.
I ricercatori di cybersecurity di Kaspersky affermano che l’infostealer per Windows è attivamente in circolazione almeno da novembre, prendendo di mira dati dei browser, applicazioni installate in locale e wallet crypto sia basati su browser sia desktop.
Una volta eseguito, Stealka è in grado di dirottare account online, prosciugare fondi in criptovalute e, in alcuni casi, installare un miner crypto per monetizzare ulteriormente i sistemi infetti.
Si diffonde tramite cheat di giochi e software piratato
Secondo l’analisi di Kaspersky, Stealka si diffonde principalmente attraverso file che gli utenti scaricano e avviano volontariamente.
Il malware è comunemente camuffato da versioni crackate di software commerciali o da cheat e mod per giochi popolari, distribuiti tramite piattaforme ampiamente utilizzate come GitHub, SourceForge, Softpedia e Google Sites.
In diversi casi, gli attaccanti hanno caricato file malevoli in repository legittimi, facendo leva sulla credibilità delle piattaforme per ridurre i sospetti.
Parallelamente, i ricercatori hanno osservato siti web falsi progettati in modo professionale che offrono software piratato o script per giochi.
Questi siti spesso mostrano falsi risultati di scansioni antivirus per creare l’impressione che i download siano sicuri.
In realtà, i nomi dei file e le descrizioni delle pagine servono solo come esca; il contenuto scaricato contiene sempre lo stesso payload di infostealer.
Il malware prende di mira browser, wallet e applicazioni locali
Una volta installato, Stealka si concentra in modo particolare sui browser web basati su Chromium e Gecko, esponendo gli utenti di oltre un centinaio di browser al furto di dati.
Il malware estrae credenziali di accesso salvate, dati di compilazione automatica, cookie e token di sessione, consentendo agli attaccanti di aggirare l’autenticazione a due fattori e prendere il controllo degli account senza password.
Gli account compromessi vengono poi usati per diffondere ulteriormente il malware, anche all’interno delle community di gaming.
Stealka prende di mira anche le estensioni del browser collegate a wallet di criptovalute, gestori di password e strumenti di autenticazione. I ricercatori hanno identificato tentativi di raccogliere dati da estensioni collegate a principali wallet crypto come MetaMask, Trust Wallet e Phantom, oltre che da servizi di password e autenticazione tra cui Bitwarden, Authy e Google Authenticator.
Oltre ai browser, il malware raccoglie file di configurazione e dati locali da decine di applicazioni desktop.
Tra queste ci sono wallet crypto standalone che possono conservare chiavi private cifrate e metadati del wallet, app di messaggistica, client email, software VPN, strumenti per prendere appunti e launcher di giochi.
Perché è importante
L’accesso a queste informazioni permette agli attaccanti di rubare fondi, reimpostare le credenziali degli account e nascondere ulteriori attività malevole.
Il malware raccoglie inoltre informazioni di sistema e cattura screenshot dei dispositivi infetti.
Kaspersky ha avvertito che la campagna Stealka evidenzia la crescente sovrapposizione tra pirateria, download legati al gaming e criminalità informatica finanziaria, esortando gli utenti a evitare fonti di software non attendibili e a considerare cheat, mod e crack come file ad alto rischio.