تقوم كاسبرسكي بإبلاغ البرمجيات الخبيثة التي تتنكر في هيئة تعديلات روبلوكس وGTAV لسرقة بيانات التشفير

حذرت كاسبرسكي من برمجيات خبيثة جديدة تخفي نفسها كتعديلات ألعاب فيديو وتستخدم الغش لألعاب شهيرة مثل روبلوكس وGTAV وتستهدف محافظ العملات الرقمية.

أطلق عليه كاسبرسكي في منشور حديث من مدونة منه أنه يطلق عليه اسم "ستيلكا"، ويمكنه "اختطاف الحسابات، وسرقة العملات المشفرة، وتثبيت منجم عملات رقمية على أجهزة ضحاياهم". 

وأضاف: "غالبا ما يتنكر هذا السرقة المعلومات في شكل كراكات وغش وتعديلات في الألعاب."

لمن لا يعلم، فإن سرقة المعلومات هي فئة من البرمجيات الخبيثة التي تسمح للجهات السيئة باستخراج معلومات سرية من جهاز الضحية وإرسالها إلى خادم بعيد.

في الماضي، كان مستخدمو العملات الرقمية يستهدفون باستمرار باستخدام هذا الاتجاه الهجومي، غالبا من خلال مجموعة متنوعة من التطبيقات والمواقع الإلكترونية وحزم المثبتات المخفية.

كيف تستهدف ستيلكا مستخدمي العملات الرقمية؟

وفقا لشركة الأمن السيبراني، يقوم مجرمو الإنترنت بتوزيع ستيلكا عبر منصات شرعية مثل GitHub وSourceForge وGoogle Sites، حيث يتم رفعها كبرامج وتعديلات مخترقة للألعاب والتطبيقات الشهيرة.

نظرا لأن هذه المنصات لها سمعة بالثقة وتستضيف مجتمعا كبيرا للبرمجيات مفتوحة المصدر والألعاب، فإن ذلك يمنح المهاجمين وسيلة مريحة للوصول إلى عدد واسع من المستخدمين غير المتوقعين.

يتم تفعيل البرمجيات الخبيثة بمجرد تحميل المستخدم للملف الخبيث وتشغيله على نظامه.

تقدر كاسبرسكي أن الحملة نشطة منذ نوفمبر 2025 على الأقل، وقد تم العثور على حالات من البرمجيات الخبيثة تقلد تطبيقات وألعاب شهيرة مختلفة. انظر أدناه.

"أحيانا، مع ذلك، يذهب المهاجمون خطوة أبعد (وربما يستخدمون أدوات الذكاء الاصطناعي) لإنشاء مواقع إلكترونية وهمية كاملة تبدو احترافية جدا. "بدون مساعدة مضاد فيروسات قوي، من غير المرجح أن يلاحظ المستخدم العادي أن هناك شيئا خاطئا،" أضاف كاسبرسكي.

ومع ذلك، أشارت إلى أن بعض هذه المواقع المزيفة قد تحتوي على علامات دقيقة، مثل أسماء المنتجات غير المتطابقة أو أوصاف غريبة على شكل ادعاءات مبالغ فيها لا تتطابق مع البرنامج المعروض فعليا.

في بعض الحالات، تتظاهر هذه المواقع الخبيثة أيضا بمسح الملفات باستخدام شعارات بائعي مكافحة الفيروسات لطمأنة المستخدمين بأن التنزيلات آمنة، لكن في الواقع، هي مجرد حيلة رخيصة لخداعهم لخفض حذرهم.

"بالطبع، لا يحدث مثل هذا المسح فعليا؛ "المهاجمون يحاولون فقط خلق وهم بالثقة،" قال كاسبرسكي.

بمجرد تثبيته، تستهدف ستيلكا بيانات المتصفحات المطورة على محركات كروميوم وجيكو، وهما من أكثر المنصات استخداما والتي تشكل أساس العديد من المتصفحات الشهيرة مثل كروم، فايرفوكس، أوبرا، ياندكس متصفح، إيدج، بريف، وغيرها.

من هناك، يمكنه سرقة بيانات التعبئة التلقائية مثل بيانات الدخول والعناوين المحفوظة وتفاصيل بطاقات الدفع.

كما وجدت كاسبرسكي أن البرمجيات الخبيثة يمكنها استهداف إعدادات وقواعد بيانات 115 إضافة لمتصفح المتصفح لمحافظ العملات المشفرة، بما في ذلك Binance وCoinbase و Crypto.com وSafePal وTrust Wallet وMetaMask وغيرها، إلى جانب خدمات المصادقة الثنائية مثل Authy وGoogle Authenticator.

ومن الجدير بالذكر أن ما لا يقل عن 80 تطبيق محفظة قد تكون معرضة للخطر، حيث تحتوي بيانات تكوين المحفظة على تفاصيل حساسة مثل المفاتيح الخاصة، وبيانات العبارة البذرية، ومسارات ملفات المحفظة، ومعلمات التشفير، حسبما قالت كاسبرسكي.

كيفية الحفاظ على أمان أصولك الرقمية

لمنع Stealka والبرمجيات الخبيثة المشابهة من اختراق بيانات المستخدمين، ينصح كاسبرسكي باستخدام برامج مضادة للفيروسات موثوقة ويحث المستخدمين على تجنب البرامج المقرصنة وتعديلات الألعاب غير الرسمية.

كإجراء إضافي للسلامة، تحث كاسبرسكي المستخدمين على تجنب تخزين المعلومات الحساسة في المتصفحات.

مسارات الهجوم التي يستخدمها لصوص المعلومات لاستهداف مستخدمي العملات الرقمية تتطور باستمرار، مما يجعل تهديدات كهذه مقلقة بشكل خاص.

على سبيل المثال، في الشهر الماضي، كشف فريق أبحاث الأمن السيبراني SpiderLabs عن حملة رئيسية روجت لسارقة إيتيرنيداد باستخدام تكتيكات هندسة اجتماعية معقدة لنشر برمجيات خبيثة عبر واتساب.

في سبتمبر الماضي، تبين أن ModStealer، وهو سرقة معلومات خفية، يستهدف محافظ العملات الرقمية عبر ويندوز ولينكس وmacOS بينما يتجنب محركات مكافحة الفيروسات الرئيسية.