Nowo zidentyfikowane złośliwe oprogramowanie znane jako Stealka kradnie kryptowaluty, podszywając się pod cheaty do gier, craki oprogramowania i popularne mody, wykorzystując zaufane platformy pobierania oraz fałszywe strony internetowe, aby skłonić użytkowników do zainfekowania własnych urządzeń.
Badacze cyberbezpieczeństwa z Kaspersky informują, że ten infostealer dla systemu Windows jest aktywnie rozpowszechniany co najmniej od listopada, celując w dane przeglądarek, lokalnie zainstalowane aplikacje oraz portfele kryptowalutowe działające zarówno w przeglądarce, jak i jako aplikacje desktopowe.
Po uruchomieniu Stealka jest w stanie przejmować konta online, opróżniać zasoby kryptowalutowe, a w niektórych przypadkach instalować koparkę kryptowalut, aby dodatkowo monetyzować zainfekowane systemy.
Rozprzestrzenia się przez cheaty do gier i pirackie oprogramowanie
Zgodnie z analizą Kaspersky, Stealka rozprzestrzenia się głównie poprzez pliki, które użytkownicy dobrowolnie pobierają i uruchamiają.
Malware jest powszechnie maskowane jako zcrackowane wersje komercyjnego oprogramowania lub jako cheaty i mody do popularnych gier, dystrybuowane za pośrednictwem szeroko używanych platform, takich jak GitHub, SourceForge, Softpedia i Google Sites.
W kilku przypadkach atakujący przesyłali złośliwe pliki do legalnych repozytoriów, polegając na wiarygodności tych platform, aby obniżyć czujność użytkowników.
Równolegle badacze zaobserwowali profesjonalnie zaprojektowane fałszywe strony internetowe oferujące pirackie oprogramowanie lub skrypty do gier.
Strony te często wyświetlają fałszywe wyniki skanowania antywirusowego, aby stworzyć wrażenie, że pobierane pliki są bezpieczne.
W rzeczywistości nazwy plików i opisy stron służą jedynie jako przynęta; pobierana zawartość konsekwentnie zawiera ten sam ładunek infostealera.
Malware atakuje przeglądarki, portfele i lokalne aplikacje
Po zainstalowaniu Stealka koncentruje się w dużym stopniu na przeglądarkach internetowych opartych na Chromium i Gecko, narażając użytkowników ponad stu przeglądarek na kradzież danych.
Malware wykrada zapisane dane logowania, dane autouzupełniania, pliki cookie oraz tokeny sesji, umożliwiając atakującym omijanie uwierzytelniania dwuskładnikowego i przejmowanie kont bez haseł.
Przejęte konta są następnie wykorzystywane do dalszego rozpowszechniania malware, m.in. w społecznościach graczy.
Stealka atakuje także rozszerzenia przeglądarek powiązane z portfelami kryptowalut, menedżerami haseł i narzędziami uwierzytelniania. Badacze zidentyfikowali próby pozyskania danych z rozszerzeń powiązanych z głównymi portfelami kryptowalutowymi, takimi jak MetaMask, Trust Wallet i Phantom, a także z usługami do zarządzania hasłami i uwierzytelniania, w tym Bitwarden, Authy i Google Authenticator.
Poza przeglądarkami malware zbiera pliki konfiguracyjne i lokalne dane z dziesiątek aplikacji desktopowych.
Obejmuje to samodzielne portfele kryptowalutowe, które mogą przechowywać zaszyfrowane klucze prywatne i metadane portfeli, komunikatory, klientów poczty e‑mail, oprogramowanie VPN, narzędzia do notatek oraz launchery gier.
Dlaczego to ważne
Dostęp do tych informacji umożliwia atakującym kradzież środków, resetowanie danych logowania do kont oraz ukrywanie dalszej złośliwej aktywności.
Malware dodatkowo zbiera informacje o systemie i wykonuje zrzuty ekranu zainfekowanych urządzeń.
Kaspersky ostrzega, że kampania Stealka podkreśla rosnące powiązania pomiędzy piractwem, pobieraniem treści związanych z grami a cyberprzestępczością finansową, wzywając użytkowników do unikania niezaufanych źródeł oprogramowania oraz traktowania cheatów, modów i cracków jako plików wysokiego ryzyka.