新近被識別出的惡意程式變種 Stealka,透過偽裝成遊戲作弊工具、軟體破解與熱門模組來竊取加密貨幣,利用可信的下載平台與假網站誘騙使用者主動感染自己的裝置。
資安公司 Kaspersky 指出,這款以 Windows 為目標的資訊竊取工具,自至少去年 11 月起便已在網路上積極流通,鎖定瀏覽器資料、本機安裝的應用程式,以及瀏覽器型與桌面版的加密貨幣錢包。
一旦執行,Stealka 便能劫持線上帳號、掏空加密貨幣資產,在部分情況下還會安裝加密貨幣挖礦程式,進一步從受感染系統牟利。
透過遊戲外掛與盜版軟體散布
根據 Kaspersky 的分析,Stealka 主要是藉由使用者自行下載並執行的檔案來散布。
這類惡意程式常偽裝成商業軟體的破解版本,或熱門遊戲的作弊程式與模組,並透過 GitHub、SourceForge、Softpedia 與 Google Sites 等廣泛使用的平台來散布。
在多起案例中,攻擊者將惡意檔案上傳至合法的程式庫,借助這些平台本身的公信力來降低使用者的疑心。
與此同時,研究人員也觀察到專業設計的假網站,提供盜版軟體或遊戲腳本下載。
這些網站經常展示偽造的防毒掃描結果,營造下載安全無虞的假象。
實際上,檔名與頁面描述只是誘餌;下載內容幾乎一律是相同的資訊竊取惡意程式載荷。
鎖定瀏覽器、錢包與本機應用程式
安裝後,Stealka 會高度聚焦於基於 Chromium 與 Gecko 的網頁瀏覽器,使超過上百款瀏覽器的使用者暴露在資料外洩風險之下。
惡意程式會擷取已儲存的登入憑證、自動填寫資料、Cookies 與工作階段權杖,讓攻擊者能繞過雙重驗證,在不需要密碼的情況下接管帳號。
遭入侵的帳號隨後還會被用來進一步散播惡意程式,包括在遊戲社群中擴散。
Stealka 也鎖定與加密貨幣錢包、密碼管理器與驗證工具相關的瀏覽器擴充功能。研究人員發現,攻擊者試圖從多款主流加密貨幣錢包擴充功能中竊取資料,包括 MetaMask、Trust Wallet 與 Phantom,以及 Bitwarden、Authy 與 Google Authenticator 等密碼與驗證服務。
除了瀏覽器之外,惡意程式還會收集多款桌面應用程式的設定檔與本機資料。
其中包括可能儲存加密私鑰與錢包中繼資料的獨立加密貨幣錢包、通訊軟體、電子郵件用戶端、VPN 軟體、記事工具以及遊戲啟動器等。
為何重要
取得這些資訊,使攻擊者得以竊取資金、重設帳號憑證,並掩護後續惡意活動。
此外,惡意程式還會蒐集系統資訊並擷取受感染裝置的螢幕截圖。
Kaspersky 警告,Stealka 行動凸顯了盜版行為、與遊戲相關下載與金融網路犯罪之間日益重疊的現象,並呼籲使用者避免從不可信來源下載軟體,把各類作弊程式、模組與破解檔視為高風險檔案。