Uma nova variante de malware identificada como Stealka está roubando criptomoedas ao se passar por cheats de jogos, cracks de software e mods populares, usando plataformas de download confiáveis e sites falsos para enganar usuários a infectar seus próprios dispositivos.
Pesquisadores de cibersegurança da Kaspersky afirmam que o infostealer para Windows está em circulação ativa desde, pelo menos, novembro, tendo como alvo dados de navegadores, aplicativos instalados localmente e carteiras de criptomoedas tanto baseadas em navegador quanto de desktop.
Depois de executado, o Stealka é capaz de sequestrar contas online, esvaziar saldos de criptomoedas e, em alguns casos, instalar um minerador de criptomoedas para monetizar ainda mais os sistemas infectados.
Espalha-se por cheats de jogos e software pirateado
De acordo com a análise da Kaspersky, o Stealka se espalha principalmente por meio de arquivos que os próprios usuários baixam e executam voluntariamente.
O malware é comumente disfarçado como versões crackeadas de softwares comerciais ou como cheats e mods para jogos populares, distribuídos por plataformas amplamente usadas como GitHub, SourceForge, Softpedia e Google Sites.
Em vários casos, os invasores enviaram arquivos maliciosos para repositórios legítimos, contando com a credibilidade das plataformas para reduzir a suspeita.
Paralelamente, os pesquisadores observaram sites falsos, com aparência profissional, oferecendo software pirateado ou scripts para jogos.
Esses sites frequentemente exibem resultados falsos de varredura de antivírus para criar a impressão de que os downloads são seguros.
Na realidade, os nomes dos arquivos e as descrições das páginas servem apenas como isca; o conteúdo baixado contém de forma consistente a mesma carga útil de infostealer.
Malware tem como alvo navegadores, carteiras e aplicativos locais
Uma vez instalado, o Stealka foca fortemente em navegadores baseados em Chromium e Gecko, expondo usuários de mais de uma centena de navegadores a roubo de dados.
O malware extrai credenciais de login salvas, dados de preenchimento automático, cookies e tokens de sessão, permitindo que invasores contornem a autenticação em duas etapas e assumam o controle de contas sem precisar de senhas.
Contas comprometidas são então usadas para distribuir ainda mais o malware, inclusive em comunidades de jogos.
O Stealka também tem como alvo extensões de navegador ligadas a carteiras de criptomoedas, gerenciadores de senhas e ferramentas de autenticação. Pesquisadores identificaram tentativas de coleta de dados de extensões vinculadas a grandes carteiras de criptomoedas como MetaMask, Trust Wallet e Phantom, bem como de serviços de senha e autenticação, incluindo Bitwarden, Authy e Google Authenticator.
Além dos navegadores, o malware coleta arquivos de configuração e dados locais de dezenas de aplicativos de desktop.
Isso inclui carteiras de criptomoedas independentes que podem armazenar chaves privadas criptografadas e metadados de carteiras, aplicativos de mensagens, clientes de e-mail, softwares de VPN, ferramentas de anotações e launchers de jogos.
Por que isso importa
O acesso a essas informações permite que invasores roubem fundos, redefinam credenciais de contas e ocultem atividades maliciosas adicionais.
O malware também coleta informações do sistema e captura capturas de tela dos dispositivos infectados.
A Kaspersky alertou que a campanha Stealka evidencia a crescente sobreposição entre pirataria, downloads relacionados a jogos e cibercrime financeiro, reforçando a recomendação para que os usuários evitem fontes não confiáveis de software e tratem cheats, mods e cracks como arquivos de alto risco.