一款新近被識別的惡意程式 Stealka,正透過假裝成遊戲外掛、破解軟件和熱門模組來竊取加密貨幣,利用可信的下載平台及假網站,誘使用戶親手感染自己的裝置。
網絡保安公司 Kaspersky 表示,這款 Windows 平台的資訊竊取程式,至少自去年 11 月起已在網上積極散播,鎖定瀏覽器資料、本機安裝的應用程式,以及瀏覽器端與桌面版的加密貨幣錢包。
一旦執行,Stealka 便能劫持網上帳戶、掏空加密貨幣資產,部分情況下更會安裝加密貨幣挖礦程式,進一步從受感染系統牟利。
經遊戲外掛及盜版軟件散播
根據 Kaspersky 的分析,Stealka 主要透過用戶主動下載並執行的檔案來傳播。
這款惡意程式經常偽裝成商業軟件的破解版本,或熱門遊戲的外掛與模組,並經由 GitHub、SourceForge、Softpedia 和 Google Sites 等廣泛使用的平台發佈。
多個案例顯示,攻擊者會把惡意檔案上載至合法的資源庫,藉由平台本身的公信力降低用戶疑心。
同時,研究人員亦觀察到,攻擊者建立設計專業的假網站,提供盜版軟件或遊戲腳本下載。
這些網站往往展示偽造的防毒掃描結果,營造下載安全無虞的假象。
事實上,檔案名稱與頁面描述只是誘餌;實際下載的內容始終包含同一個資訊竊取惡意程式載荷。
鎖定瀏覽器、錢包及本機應用程式
一旦安裝成功,Stealka 會集中針對基於 Chromium 和 Gecko 架構的網頁瀏覽器,令超過百款瀏覽器的用戶暴露於資料被竊風險之中。
該惡意程式會擷取已儲存的登入憑證、自動填表資料、cookies 及工作階段權杖,讓攻擊者能繞過雙重認證,在毋須密碼的情況下接管帳戶。
被入侵的帳戶其後往往被用來進一步散播惡意程式,包括在各大遊戲社群之內。
Stealka 同時瞄準與加密貨幣錢包、密碼管理器及身份驗證工具相關的瀏覽器擴充功能。研究人員發現,它試圖從多款主流加密貨幣錢包擴充功能中收集資料,包括 MetaMask、Trust Wallet 與 Phantom,以及 Bitwarden、Authy 和 Google Authenticator 等密碼及驗證服務。
除了瀏覽器之外,惡意程式亦會收集多款桌面應用程式的設定檔和本機資料。
受影響的類型包括可儲存加密私鑰與錢包中繼資料的獨立加密貨幣錢包、通訊軟件、電郵客戶端、VPN 軟件、記事工具及遊戲啟動器等。
為何重要
取得這些資訊後,攻擊者便能盜取資金、重設帳戶憑證,並掩飾進一步的惡意活動。
該惡意程式另外會蒐集系統資訊,並擷取受感染裝置的螢幕截圖。
Kaspersky 警告,Stealka 攻擊行動突顯了盜版行為、遊戲相關下載與金融網絡罪行之間日益重疊的趨勢,並呼籲用戶避免從不受信任來源取得軟件,並將外掛、模組與破解檔視為高風險檔案。