Kaspersky markerer malware, der udgiver sig for at være Roblox, og GTAV-mods stjæler kryptodata

Kaspersky har advaret om en ny malware, der skjuler sig som videospilmods og snydekoder til populære titler som Roblox og GTAV og målretter krypto wallets.

Kaldet "Stealka" kan den nye infostealer "kapre konti, stjæle kryptovaluta og installere en kryptominer på ofrenes enheder," advarede Kaspersky i et nyligt blogindlæg.

"Oftest forklæder denne infostealer sig som game cracks, cheats og mods," tilføjede den.

For dem, der ikke ved det, er infostealers en kategori af malware, der tillader ondsindede aktører at udtrække fortrolige oplysninger fra offerets enhed og sende dem til en fjernserver.

Tidligere er kryptobrugere konsekvent blevet målrettet ved hjælp af denne angrebsvektor, ofte gennem en række forklædte applikationer, hjemmesider og installationspakker.

Hvordan målretter Stealka kryptobrugere?

Ifølge cybersikkerhedsfirmaet distribuerer cyberkriminelle Stealka på legitime platforme som GitHub, SourceForge og Google Sites, hvor de uploades som cracked software og mods til populære spil og applikationer.

Da disse platforme har ry for troværdighed og huser et stort open source- og gaming-fællesskab, giver det angriberne en bekvem måde at nå et bredt antal intetanende brugere på.

Malvaren aktiveres, når en bruger downloader den ondsindede fil og kører den på deres system.

Kaspersky vurderer, at kampagnen har været aktiv siden mindst november 2025, og der er fundet tilfælde af malware, der efterligner forskellige populære apps og spil. Se nedenfor.

"Nogle gange går angribere dog et skridt videre (og bruger muligvis AI-værktøjer) for at skabe hele falske hjemmesider, der ser ret professionelle ud. Uden hjælp fra et robust antivirusprogram vil den gennemsnitlige bruger sandsynligvis ikke opdage, at noget er galt," tilføjede Kaspersky.

Dog bemærkede den, at nogle af disse falske sider kan have subtile tegn, såsom uoverensstemmende produktnavne eller mærkelige beskrivelser i form af overdrevne påstande, der ikke stemmer overens med den faktiske software, der tilbydes.

I nogle tilfælde foregiver disse ondsindede hjemmesider også, at de scanner filer ved hjælp af logoer fra antivirusleverandører for at forsikre brugerne om, at downloads er sikre, men i virkeligheden er det blot en billig taktik for at narre dem til at sænke paraderne.

"Selvfølgelig foregår der ikke sådan scanning; angriberne forsøger blot at skabe en illusion af troværdighed," sagde Kaspersky.

Når den er installeret, retter Stealka sig mod data fra browsere udviklet på Chromium- og Gecko-motorer, to af de mest anvendte platforme, der danner grundlaget for mange populære browsere, herunder Chrome, Firefox, Opera, Yandex Browser, Edge, Brave og andre.

Derfra kan den stjæle autoudfyldelsesdata såsom loginoplysninger, gemte adresser og betalingskortoplysninger.

Kaspersky fandt også, at malwaren kan ramme indstillingerne og databaserne i 115 browserudvidelser for krypto wallets, herunder Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask og andre, sammen med tofaktorautentificeringstjenester som Authy og Google Authenticator.

Bemærkelsesværdigt kan mindst 80 wallet-applikationer være i fare, da wallet-konfigurationsdata indeholder følsomme oplysninger som private nøgler, seed-phrase-data, wallet-filstier og krypteringsparametre, oplyste Kaspersky.

Sådan holder du dine kryptoaktiver sikre

For at forhindre Stealka og lignende malware i at kompromittere brugerdata, anbefaler Kaspersky at bruge pålidelig antivirussoftware og opfordrer brugere til at undgå piratkopieret software og uofficielle spilmods.

Som en ekstra sikkerhedsforanstaltning opfordrer Kaspersky brugerne til at undgå at gemme følsomme oplysninger i browsere.

De angrebsvektorer, som infotyve bruger til at målrette kryptobrugere, udvikler sig konstant, hvilket gør trusler som disse særligt bekymrende.

For eksempel opdagede cybersikkerhedsforskerholdet SpiderLabs sidste måned en stor kampagne, der promoverede Eternidade Stealer ved at bruge komplekse social engineering-taktikker til at udrulle malware på WhatsApp.

Tilbage i september blev ModStealer, en anden snusket infostealer, opdaget at målrette kryptovaluta wallets på tværs af Windows, Linux og macOS, samtidig med at de undgik store antivirusmotorer.