Kaspersky señala malware que se hace pasar por Roblox y moderadores de GTAV para robar datos criptográficos

Kaspersky ha advertido sobre un nuevo malware que se oculta como mods de videojuegos y trampas para títulos populares como Roblox y GTAV, y que tiene como objetivo wallets de criptomonedas.

Apodado "Stealka", el nuevo ladrón de información puede "secuestrar cuentas, robar criptomonedas e instalar un minero de criptomonedas en los dispositivos de sus víctimas", advirtió Kaspersky en una reciente entrada de blog.

"La mayoría de las veces, este robo de información se disfraza de cracks de juegos, trucos y mods", añadió.

Para quienes no lo sepan, los robo de información son una categoría de malware que permite a los actores malintencionados extraer información confidencial del dispositivo de la víctima y enviarla a un servidor remoto.

En el pasado, los usuarios de criptomonedas han sido constantemente atacados usando este vector de ataque, a menudo a través de una variedad de aplicaciones, sitios web y paquetes de instalación disfrazados.

¿Cómo apunta Stealka a los usuarios de criptomonedas?

Según la empresa de ciberseguridad, los ciberdelincuentes están distribuyendo Stealka en plataformas legítimas como GitHub, SourceForge y Google Sites, donde se suben como software crackeado y mods para juegos y aplicaciones populares.

Dado que estas plataformas tienen fama de fiabilidad y albergan una gran comunidad de código abierto y de juegos, ofrecen a los atacantes una forma cómoda de llegar a un amplio número de usuarios desprevenidos.

El malware se activa una vez que el usuario descarga el archivo malicioso y lo ejecuta en su sistema.

Kaspersky estima que la campaña ha estado activa al menos desde noviembre de 2025, y se han encontrado instancias del malware imitando diversas aplicaciones y juegos populares. Ver más abajo.

"Sin embargo, a veces los atacantes van un paso más allá (y posiblemente usan herramientas de IA) para crear sitios web falsos completos que parecen bastante profesionales. Sin la ayuda de un antivirus robusto, es poco probable que el usuario medio se dé cuenta de que algo va mal", añadió Kaspersky.

Sin embargo, señaló que algunos de estos sitios falsos pueden tener señales sutiles, como nombres de productos desajustados o descripciones extrañas en forma de afirmaciones exageradas que no coinciden con el software real que se ofrece.

En algunos casos, estos sitios maliciosos también fingen escanear archivos usando los logotipos de los fabricantes de antivirus para asegurar a los usuarios que las descargas son seguras, pero en realidad es solo una táctica barata para engañarles y que bajen la guardia.

"Por supuesto, no se realiza ningún escaneo así; los atacantes solo intentan crear una ilusión de fiabilidad", dijo Kaspersky.

Una vez instalado, Stealka se dirige a datos de navegadores desarrollados con motores Chromium y Gecko, dos de las plataformas más utilizadas que forman la base de muchos navegadores populares como Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, entre otros.

A partir de ahí, puede robar datos de autorelleno como credenciales de inicio de sesión, direcciones guardadas y datos de tarjetas de pago.

Kaspersky también descubrió que el malware puede atacar la configuración y base de datos de 115 extensiones de navegador para wallets criptomonedas, incluyendo Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask y otros, junto con servicios de autenticación en dos pasos como Authy y Google Authenticator.

Cabe destacar que al menos 80 aplicaciones de monedero pueden estar en riesgo, ya que los datos de configuración de la cartera contienen detalles sensibles como claves privadas, datos de frases semilla, rutas de archivos de cartera y parámetros de cifrado, según Kaspersky.

Cómo mantener seguros tus criptoactivos

Para evitar que Stealka y malware similar comprometan los datos de los usuarios, Kaspersky recomienda utilizar un antivirus fiable y insta a los usuarios a evitar software pirateado y mods no oficiales de juegos.

Como medida adicional de seguridad, Kaspersky insta a los usuarios a evitar almacenar información sensible en los navegadores.

Los vectores de ataque que utilizan los ladrones de información para atacar a los usuarios de criptomonedas están en constante evolución, lo que hace que amenazas como estas sean especialmente preocupantes.

Por ejemplo, el mes pasado, el equipo de investigación en ciberseguridad SpiderLabs descubrió una gran campaña que promovía al Eternidade Stealer utilizando tácticas complejas de ingeniería social para desplegar malware en WhatsApp.

En septiembre pasado, se descubrió que ModStealer, otro infostealer sigiloso, estaba dirigiéndose a wallets de criptomonedas en Windows, Linux y macOS mientras evadía los principales motores antivirus.