Een nieuw geïdentificeerde malwaresoort, bekend als Stealka, steelt cryptocurrency door zich voor te doen als gamecheats, softwarecracks en populaire mods, en gebruikt vertrouwde downloadplatformen en nepwebsites om gebruikers te misleiden zodat zij hun eigen apparaten infecteren.
Cyberbeveiligingsonderzoekers van Kaspersky zeggen dat de op Windows gebaseerde infostealer sinds minstens november actief circuleert en het gemunt heeft op browsergegevens, lokaal geïnstalleerde applicaties en zowel browsergebaseerde als desktop-cryptowallets.
Zodra hij wordt uitgevoerd, is Stealka in staat online accounts te kapen, cryptovalutabezittingen leeg te trekken en in sommige gevallen een cryptominer te installeren om geïnfecteerde systemen verder te gelde te maken.
Verspreidt zich via gamecheats en illegale software
Volgens Kaspersky’s analyse verspreidt Stealka zich voornamelijk via bestanden die gebruikers vrijwillig downloaden en uitvoeren.
De malware wordt vaak vermomd als gekraakte versies van commerciële software of als cheats en mods voor populaire games, verspreid via veelgebruikte platforms zoals GitHub, SourceForge, Softpedia en Google Sites.
In verschillende gevallen uploaden aanvallers kwaadaardige bestanden naar legitieme repositories, waarbij zij vertrouwen op de geloofwaardigheid van de platforms om argwaan te verminderen.
Tegelijkertijd zagen onderzoekers professioneel ontworpen nepwebsites die illegale software of gamescripts aanbieden.
Deze sites tonen vaak valse antivirus-scanresultaten om de indruk te wekken dat downloads veilig zijn.
In werkelijkheid dienen de bestandsnamen en paginabeschrijvingen alleen als lokaas; de gedownloade inhoud bevat consequent dezelfde infostealer-payload.
Malware richt zich op browsers, wallets en lokale applicaties
Eenmaal geïnstalleerd richt Stealka zich sterk op webbrowsers die zijn gebaseerd op Chromium en Gecko, waardoor gebruikers van meer dan honderd browsers worden blootgesteld aan datadiefstal.
Ook interessant: ING Flags Deep Shift As China, India And Brazil Reduce Billions Of U.S. Treasury Holdings In A Single Month
De malware haalt opgeslagen inloggegevens, autofill-gegevens, cookies en sessietokens op, waardoor aanvallers tweefactorauthenticatie kunnen omzeilen en accounts kunnen overnemen zonder wachtwoorden.
Gecompromitteerde accounts worden vervolgens gebruikt om de malware verder te verspreiden, onder meer via gaminggemeenschappen.
Stealka richt zich ook op browserextensies die gekoppeld zijn aan cryptowallets, wachtwoordmanagers en authenticatietools. Onderzoekers zagen pogingen om gegevens te oogsten uit extensies die verbonden zijn met grote cryptowallets zoals MetaMask, Trust Wallet en Phantom, evenals wachtwoord- en authenticatiediensten zoals Bitwarden, Authy en Google Authenticator.
Naast browsers verzamelt de malware configuratiebestanden en lokale gegevens van tientallen desktopapplicaties.
Het gaat onder meer om zelfstandige cryptowallets die versleutelde privésleutels en wallet-metadata kunnen opslaan, berichtendiensten, e-mailclients, VPN-software, notitie-apps en gamelaunchers.
Waarom het belangrijk is
Toegang tot deze informatie stelt aanvallers in staat geld te stelen, accountgegevens te resetten en verdere kwaadaardige activiteiten te verbergen.
De malware verzamelt daarnaast systeeminformatie en maakt schermafbeeldingen van geïnfecteerde apparaten.
Kaspersky waarschuwde dat de Stealka-campagne de groeiende overlap laat zien tussen piraterij, gaminggerelateerde downloads en financiële cybercriminaliteit, en roept gebruikers op om onbetrouwbare softwarebronnen te vermijden en cheats, mods en cracks als hoogrisicobestanden te beschouwen.