Uma nova cepa de malware identificada como Stealka está roubando criptomoedas ao se passar por cheats de jogos, cracks de software e mods populares, usando plataformas de download confiáveis e sites falsos para enganar usuários a infectarem seus próprios dispositivos.
Pesquisadores de segurança da Kaspersky afirmam que o infostealer para Windows está em circulação ativa pelo menos desde novembro, visando dados de navegadores, aplicativos instalados localmente e carteiras de criptomoedas tanto baseadas em navegador quanto de desktop.
Uma vez executado, o Stealka é capaz de sequestrar contas online, esvaziar saldos de criptomoedas e, em alguns casos, instalar um minerador de criptomoedas para monetizar ainda mais os sistemas infectados.
Se espalha por cheats de jogos e software pirateado
De acordo com a análise da Kaspersky, o Stealka se espalha principalmente por arquivos que os próprios usuários baixam e executam voluntariamente.
O malware costuma ser disfarçado como versões crackeadas de softwares comerciais ou como cheats e mods para jogos populares, distribuídos por plataformas amplamente usadas como GitHub, SourceForge, Softpedia e Google Sites.
Em vários casos, os atacantes enviaram arquivos maliciosos para repositórios legítimos, confiando na credibilidade das plataformas para reduzir a suspeita.
Paralelamente, os pesquisadores observaram sites falsos, profissionalmente projetados, oferecendo softwares pirateados ou scripts para jogos.
Esses sites costumam exibir resultados falsos de varreduras antivírus para criar a impressão de que os downloads são seguros.
Na realidade, os nomes dos arquivos e as descrições das páginas servem apenas como isca; o conteúdo baixado contém consistentemente a mesma carga útil de infostealer.
Malware mira navegadores, carteiras e aplicativos locais
Uma vez instalado, o Stealka foca fortemente em navegadores baseados em Chromium e Gecko, expondo usuários de mais de uma centena de navegadores ao roubo de dados.
O malware extrai credenciais de login salvas, dados de preenchimento automático, cookies e tokens de sessão, permitindo que os atacantes contornem a autenticação de dois fatores e assumam contas sem necessidade de senhas.
Contas comprometidas são então usadas para distribuir ainda mais o malware, inclusive por meio de comunidades de jogos.
O Stealka também tem como alvo extensões de navegador vinculadas a carteiras de criptomoedas, gerenciadores de senhas e ferramentas de autenticação. Pesquisadores identificaram tentativas de coletar dados de extensões ligadas a grandes carteiras de criptomoedas como MetaMask, Trust Wallet e Phantom, bem como de serviços de senhas e autenticação, incluindo Bitwarden, Authy e Google Authenticator.
Além dos navegadores, o malware coleta arquivos de configuração e dados locais de dezenas de aplicativos de desktop.
Isso inclui carteiras de criptomoedas independentes que podem armazenar chaves privadas criptografadas e metadados de carteiras, aplicativos de mensagens, clientes de e-mail, softwares de VPN, ferramentas de anotações e launchers de jogos.
Por que isso importa
O acesso a essas informações permite que atacantes roubem fundos, redefinam credenciais de contas e ocultem atividades maliciosas adicionais.
O malware também reúne informações do sistema e captura capturas de tela dos dispositivos infectados.
A Kaspersky alertou que a campanha Stealka evidencia a crescente sobreposição entre pirataria, downloads relacionados a jogos e crimes cibernéticos financeiros, incentivando os usuários a evitarem fontes de software não confiáveis e a tratarem cheats, mods e cracks como arquivos de alto risco.