一种新发现的恶意软件 Stealka 正通过伪装成游戏作弊工具、软件破解和热门 Mod 来窃取加密货币,并利用可信下载平台和假网站诱骗用户自行感染设备。
卡巴斯基(Kaspersky) 的网络安全研究人员表示,这种基于 Windows 的信息窃取程序至少自去年 11 月起就已在活跃传播,主要针对浏览器数据、本地安装的应用程序,以及基于浏览器和桌面的加密货币钱包。
一旦执行,Stealka 能够劫持在线账户、掏空加密货币资产,并在某些情况下安装加密挖矿程序,进一步从受感染系统中牟利。
通过游戏作弊和盗版软件传播
根据卡巴斯基的分析,Stealka 主要通过用户主动下载并运行的文件传播。
恶意软件通常伪装成商业软件的破解版本,或热门游戏的作弊工具和 Mod,通过 GitHub、SourceForge、Softpedia 和 Google Sites 等广泛使用的平台分发。
在若干案例中,攻击者将恶意文件上传至合法仓库,借助平台本身的可信度来降低用户警惕。
与此同时,研究人员还观察到一些专业制作的伪造网站,声称提供盗版软件或游戏脚本。
这些网站往往展示伪造的杀毒扫描结果,以制造下载安全的假象。
实际上,文件名和页面描述只是诱饵;下载内容始终包含相同的信息窃取载荷。
恶意软件瞄准浏览器、钱包和本地应用
一旦安装,Stealka 会重点攻击基于 Chromium 和 Gecko 内核的网页浏览器,使上百种浏览器的用户暴露在数据被盗风险之下。
恶意软件会提取已保存的登录凭据、自动填充数据、Cookie 和会话令牌,使攻击者能够绕过双重身份验证,在不需要密码的情况下接管账户。
受控账户随后还会被用来进一步传播恶意软件,包括在各类游戏平台和社区中扩散。
Stealka 还会针对与加密货币钱包、密码管理器和身份验证工具相关的浏览器扩展。研究人员发现,其试图从与主流加密钱包 MetaMask、Trust Wallet 和 Phantom 相关的扩展中窃取数据,同时还锁定 Bitwarden、Authy 和 Google Authenticator 等密码与认证服务。
除浏览器之外,该恶意软件还会收集数十种桌面应用程序的配置文件和本地数据。
其中包括可能存储加密私钥和钱包元数据的独立加密货币钱包、即时通讯软件、电子邮件客户端、VPN 软件、笔记工具和游戏平台启动器等。
为什么这很重要
获取这些信息后,攻击者就能窃取资金、重置账户凭据,并掩盖后续的恶意活动。
恶意软件还会收集系统信息,并对受感染设备进行屏幕截图。
卡巴斯基警告称,Stealka 活动表明盗版、游戏相关下载与金融网络犯罪之间的交集正在不断加深,并呼吁用户避免从不可信来源下载软件,将各种作弊工具、Mod 和破解文件视为高风险文件。