Новый штамм вредоносного ПО под названием Stealka крадет криптовалюту, выдавая себя за читы для игр, взломы программ и популярные моды, используя доверенные платформы для загрузки и поддельные сайты, чтобы обманом заставить пользователей заражать собственные устройства.
Исследователи кибербезопасности из Kaspersky сообщают, что этот инфостилер для Windows активно распространяется как минимум с ноября, нацеливаясь на данные браузеров, локально установленные приложения, а также браузерные и десктопные криптокошельки.
После запуска Stealka способна перехватывать онлайн‑аккаунты, опустошать криптовалютные кошельки и в некоторых случаях устанавливать криптомайнер для дополнительной монетизации зараженных систем.
Распространяется через читы для игр и пиратское ПО
Согласно анализу Kaspersky, Stealka распространяется в основном через файлы, которые пользователи добровольно скачивают и запускают.
Вредоносная программа часто маскируется под взломанные версии коммерческого ПО или под читы и моды для популярных игр, распространяемые через широко используемые платформы, такие как GitHub, SourceForge, Softpedia и Google Sites.
В ряде случаев злоумышленники загружали вредоносные файлы в легитимные репозитории, полагаясь на доверие к этим платформам, чтобы снизить подозрения.
Параллельно исследователи обнаружили профессионально оформленные фальшивые сайты, предлагающие пиратское ПО или игровые скрипты.
Такие сайты часто демонстрируют поддельные результаты антивирусных проверок, создавая видимость безопасных загрузок.
На деле же имена файлов и описания страниц служат лишь приманкой: загружаемое содержимое постоянно содержит один и тот же инфостилер.
Вредонос нацелен на браузеры, кошельки и локальные приложения
После установки Stealka сосредотачивается на веб‑браузерах на базе Chromium и Gecko, подвергая риску пользователей более сотни различных браузеров.
Вредонос извлекает сохраненные учетные данные, данные автозаполнения, cookies и сессионные токены, позволяя злоумышленникам обходить двухфакторную аутентификацию и захватывать аккаунты без паролей.
Скомпрометированные аккаунты затем используются для дальнейшего распространения вредоносного ПО, в том числе в игровых сообществах.
Stealka также нацеливается на расширения браузера, связанные с криптокошельками, менеджерами паролей и инструментами аутентификации. Исследователи зафиксировали попытки выкрасть данные из расширений, связанных с крупными криптокошельками, такими как MetaMask, Trust Wallet и Phantom, а также из сервисов управления паролями и аутентификацией, включая Bitwarden, Authy и Google Authenticator.
Помимо браузеров, вредонос собирает файлы конфигураций и локальные данные десятков настольных приложений.
К ним относятся standalone‑криптокошельки, которые могут хранить зашифрованные приватные ключи и метаданные кошельков, мессенджеры, почтовые клиенты, VPN‑ПО, приложения для заметок и игровые лаунчеры.
Почему это важно
Доступ к этой информации позволяет злоумышленникам красть средства, сбрасывать учетные данные и скрывать дальнейшую вредоносную активность.
Вредонос также собирает системную информацию и делает скриншоты зараженных устройств.
В Kaspersky предупредили, что кампания Stealka подчеркивает растущее пересечение пиратства, игровых загрузок и финансовой киберпреступности, призвав пользователей избегать недоверенных источников программ и относиться к читам, модам и взломам как к файлам повышенного риска.