Новий виявлений різновид шкідливого програмного забезпечення під назвою Stealka викрадає криптовалюту, видаючи себе за чити для ігор, зламані програми та популярні моди, використовуючи довірені платформи завантаження та фейкові вебсайти, щоб обманом спонукати користувачів до самостійного зараження своїх пристроїв.
Дослідники з кібербезпеки з Kaspersky повідомляють, що інфостілер для Windows активно циркулює щонайменше з листопада, націлюючись на дані браузера, локально встановлені застосунки, а також браузерні та десктопні криптогаманці.
Після запуску Stealka здатна перехоплювати онлайн-акаунти, спустошувати криптовалютні запаси та, в окремих випадках, встановлювати криптомайнер для додаткової монетизації інфікованих систем.
Поширення через ігрові чити та піратське ПЗ
Згідно з аналізом Kaspersky, Stealka поширюється переважно через файли, які користувачі добровільно завантажують і запускають.
Шкідливе ПЗ зазвичай маскується під зламані версії комерційних програм або під чити й моди для популярних ігор, що розповсюджуються через широко вживані платформи, такі як GitHub, SourceForge, Softpedia та Google Sites.
У кількох випадках зловмисники завантажували шкідливі файли до легітимних репозиторіїв, покладаючись на репутацію платформ для зниження підозр.
Паралельно дослідники спостерігали професійно оформлені фейкові вебсайти, що пропонують піратське програмне забезпечення або скрипти для ігор.
Такі сайти часто показують фальшиві результати антивірусних перевірок, створюючи враження безпечних завантажень.
Насправді ж назви файлів і описи сторінок служать лише приманкою; завантажуваний вміст стабільно містить один і той самий інфостілер.
Шкідливе ПЗ націлюється на браузери, гаманці та локальні застосунки
Після встановлення Stealka зосереджується насамперед на веббраузерах, побудованих на Chromium і Gecko, наражаючи користувачів понад сотні браузерів на ризик викрадення даних.
Шкідливе ПЗ витягує збережені облікові дані для входу, дані автозаповнення, куки та сесійні токени, дозволяючи зловмисникам обходити двофакторну автентифікацію та захоплювати акаунти без паролів.
Скомпрометовані акаунти потім використовуються для подальшого поширення шкідливого ПЗ, зокрема через ігрові спільноти.
Stealka також націлюється на розширення браузера, пов’язані з криптогаманцями, менеджерами паролів і засобами автентифікації. Дослідники зафіксували спроби збору даних з розширень, пов’язаних з основними криптогаманцями, такими як MetaMask, Trust Wallet і Phantom, а також сервісами для зберігання паролів і автентифікації, включно з Bitwarden, Authy та Google Authenticator.
Окрім браузерів, шкідливе ПЗ збирає конфігураційні файли та локальні дані з десятків десктопних застосунків.
Серед них — окремі криптогаманці, які можуть зберігати зашифровані приватні ключі та метадані гаманців, месенджери, поштові клієнти, VPN-програми, засоби для нотаток та ігрові лаунчери.
Чому це важливо
Доступ до цієї інформації дає змогу зловмисникам викрадати кошти, скидати облікові дані акаунтів і приховувати подальшу шкідливу активність.
Додатково шкідливе ПЗ збирає інформацію про систему та робить скріншоти інфікованих пристроїв.
У Kaspersky попередили, що кампанія Stealka підкреслює зростаюче переплетення піратства, завантажень, пов’язаних з іграми, і фінансової кіберзлочинності, закликаючи користувачів уникати ненадійних джерел програмного забезпечення та розглядати чити, моди й «кряки» як файли з високим ризиком.