Một biến thể mã độc mới được xác định với tên Stealka đang đánh cắp tiền mã hóa bằng cách giả dạng phần mềm gian lận trong game, phần mềm bẻ khóa và các bản mod phổ biến, lợi dụng các nền tảng tải xuống đáng tin cậy và các trang web giả mạo để lừa người dùng tự lây nhiễm thiết bị của chính mình.
Các nhà nghiên cứu an ninh mạng tại Kaspersky cho biết mã độc đánh cắp thông tin trên Windows này đã hoạt động tích cực ít nhất từ tháng 11, nhắm mục tiêu vào dữ liệu trình duyệt, các ứng dụng cài đặt cục bộ và cả ví tiền mã hóa trên trình duyệt lẫn ví trên máy tính.
Sau khi được thực thi, Stealka có khả năng chiếm quyền tài khoản trực tuyến, rút sạch tài sản tiền mã hóa và trong một số trường hợp còn cài đặt trình đào coin để tiếp tục kiếm tiền từ các hệ thống bị nhiễm.
Lây lan qua cheat game và phần mềm lậu
Theo phân tích của Kaspersky, Stealka chủ yếu lây lan qua các tệp mà người dùng tự nguyện tải xuống và chạy.
Mã độc thường được nguỵ trang thành bản bẻ khóa của phần mềm thương mại hoặc các bản cheat và mod cho những trò chơi phổ biến, được phân phối qua các nền tảng quen thuộc như GitHub, SourceForge, Softpedia và Google Sites.
Trong một số trường hợp, kẻ tấn công tải tệp độc hại lên các kho lưu trữ hợp pháp, lợi dụng uy tín của nền tảng để giảm bớt sự nghi ngờ.
Song song đó, các nhà nghiên cứu quan sát thấy những trang web giả mạo được thiết kế chuyên nghiệp cung cấp phần mềm lậu hoặc script game.
Các trang này thường hiển thị kết quả quét antivirus giả để tạo ấn tượng rằng tệp tải xuống là an toàn.
Trên thực tế, tên tệp và mô tả trang chỉ đóng vai trò làm mồi nhử; nội dung tải xuống luôn chứa cùng một payload đánh cắp thông tin.
Mã độc nhắm vào trình duyệt, ví và ứng dụng cục bộ
Sau khi được cài đặt, Stealka tập trung mạnh vào các trình duyệt web dựa trên Chromium và Gecko, khiến người dùng của hơn một trăm trình duyệt có nguy cơ bị đánh cắp dữ liệu.
Mã độc trích xuất thông tin đăng nhập đã lưu, dữ liệu tự động điền, cookie và token phiên, cho phép kẻ tấn công vượt qua xác thực hai lớp và chiếm quyền tài khoản mà không cần mật khẩu.
Các tài khoản bị xâm phạm sau đó được sử dụng để phát tán mã độc tiếp, bao gồm cả trong cộng đồng game.
Stealka cũng nhắm vào các tiện ích mở rộng trình duyệt liên quan đến ví tiền mã hóa, trình quản lý mật khẩu và công cụ xác thực. Các nhà nghiên cứu phát hiện nỗ lực thu thập dữ liệu từ tiện ích mở rộng liên kết với các ví tiền mã hóa lớn như MetaMask, Trust Wallet và Phantom, cũng như các dịch vụ quản lý mật khẩu và xác thực bao gồm Bitwarden, Authy và Google Authenticator.
Ngoài trình duyệt, mã độc còn thu thập tệp cấu hình và dữ liệu cục bộ từ hàng chục ứng dụng trên máy tính.
Chúng bao gồm các ví tiền mã hóa độc lập có thể lưu khóa riêng được mã hóa và siêu dữ liệu ví, ứng dụng nhắn tin, ứng dụng email, phần mềm VPN, công cụ ghi chú và trình khởi chạy game.
Tại sao điều này quan trọng
Việc truy cập được vào những thông tin này cho phép kẻ tấn công đánh cắp tiền, đặt lại thông tin xác thực tài khoản và che giấu thêm các hoạt động độc hại khác.
Mã độc còn thu thập thông tin hệ thống và chụp ảnh màn hình của các thiết bị bị nhiễm.
Kaspersky cảnh báo chiến dịch Stealka cho thấy sự giao thoa ngày càng tăng giữa vi phạm bản quyền, tải xuống liên quan đến game và tội phạm tài chính trên mạng, kêu gọi người dùng tránh các nguồn phần mềm không đáng tin cậy và coi các bản cheat, mod và crack là tệp có rủi ro cao.