Kaspersky merkitsee haittaohjelmat, jotka esiintyvät Roblox- ja GTAV-moderaattoreina, varastaakseen kryptodataa

Kaspersky on varoittanut uudesta haittaohjelmasta, joka piiloutuu videopelimodeiksi ja huijaukseksi suosituissa peleissä kuten Roblox ja GTAV sekä kohdistuu kryptolompakot.

Nimeltään "Stealka", uusi infostealer voi "kaapata tilejä, varastaa kryptovaluuttoja ja asentaa kryptolouhijan uhrien laitteisiin", Kaspersky varoitti äskettäisessä blogikirjoituksessaan.

"Useimmiten tämä infostealer naamioituu pelimurtumiksi, huijauksiksi ja modeiksi," se lisäsi.

Niille, jotka eivät tiedä, tiedonvarastajat ovat haittaohjelmien kategoria, jonka avulla pahantahtoiset toimijat voivat poimia luottamuksellista tietoa uhrin laitteesta ja lähettää sen etäpalvelimelle.

Aiemmin krypton käyttäjiä on jatkuvasti kohdistettu tämän hyökkäysvektorin avulla, usein erilaisten naamioitujen sovellusten, verkkosivustojen ja asennuspakettien kautta.

Miten Stealka kohdentaa krypton käyttäjille?

Kyberturvallisuusyrityksen mukaan kyberrikolliset jakavat Stealkaa laillisille alustoille, kuten GitHubille, SourceForgelle ja Google Sitesille, joissa ne ladataan murrettuina ohjelmistoina ja modeina suosittuihin peleihin ja sovelluksiin.

Koska näillä alustoilla on maine luotettavina ja niissä on suuri avoimen lähdekoodin ja peliyhteisö, ne tarjoavat hyökkääjille kätevän tavan tavoittaa laaja joukko huomaamattomia käyttäjiä.

Haittaohjelma aktivoituu, kun käyttäjä lataa haitallisen tiedoston ja käynnistää sen omalla järjestelmällään.

Kaspersky arvioi, että kampanja on ollut aktiivinen ainakin marraskuusta 2025 lähtien, ja haittaohjelmia on löydetty jäljittelemässä erilaisia suosittuja sovelluksia ja pelejä. Katso alla.

"Joskus hyökkääjät kuitenkin menevät askeleen pidemmälle (ja mahdollisesti käyttävät tekoälytyökaluja) luodakseen kokonaisia väärennettyjä verkkosivustoja, jotka näyttävät varsin ammattimaisilta. Ilman vahvaa virustorjuntaa tavallinen käyttäjä tuskin huomaa, että jokin on pielessä," lisäsi Kaspersky.

Se kuitenkin totesi, että joillakin näistä väärennetyistä sivustoista saattaa olla hienovaraisia merkkejä, kuten erilliset tuotenimet tai outoja kuvauksia liioitelluina väitteinä, jotka eivät vastaa varsinaista tarjottavaa ohjelmistoa.

Joissain tapauksissa nämä haitalliset verkkosivustot teeskentelevät myös skannaavansa tiedostoja virustorjuntatoimittajien logoilla varmistaakseen käyttäjille latausten turvallisuuden, mutta todellisuudessa se on vain halpa keino huijata heidät laskemaan vartiointiaan.

"Tietenkään sellaista skannausta ei oikeasti tapahdu; hyökkääjät yrittävät vain luoda illuusion luotettavuudesta," Kaspersky sanoi.

Kun Stealka on asennettu, se kohdistuu dataan selaimista, jotka on kehitetty Chromium- ja Gecko-moottoreilla, jotka ovat kaksi laajimmin käytettyä alustaa ja muodostavat perustan monille suosituille selaimille, kuten Chromelle, Firefoxille, Operalle, Yandex Browserille, Edgelle, Bravelle ja muille.

Sen jälkeen se voi varastaa automaattisen täytön tietoja, kuten kirjautumistietoja, tallennettuja osoitteita ja maksukorttitietoja.

Kaspersky havaitsi myös, että haittaohjelma voi kohdistaa 115 selainlaajennuksen asetuksia ja tietokantoja kryptolompakot, mukaan lukien Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask ja muut, sekä kaksivaiheisiin tunnistautumispalveluihin kuten Authy ja Google Authenticator.

Merkittävästi vähintään 80 lompakkosovellusta voi olla vaarassa, sillä lompakon konfiguraatiotiedot sisältävät arkaluonteisia tietoja, kuten yksityisiä avaimia, siemenlausetietoja, lompakkotiedostopolkuja ja salausparametreja, Kaspersky kertoi.

Kuinka pitää kryptoomaisuutesi turvassa

Estääkseen Stealkaa ja vastaavia haittaohjelmia vaarantamasta käyttäjätietoja, Kaspersky suosittelee luotettavan virustorjuntaohjelmiston käyttöä ja kehottaa käyttäjiä välttämään piraattiohjelmistoja ja epävirallisia pelimodeja.

Lisäturvatoimenpiteenä Kaspersky kehottaa käyttäjiä välttämään arkaluonteisten tietojen tallentamista selaimiin.

Infostealerien käyttämät hyökkäysvektorit kryptokäyttäjien kohdistamiseen kehittyvät jatkuvasti, mikä tekee tällaisista uhkista erityisen huolestuttavia.

Esimerkiksi viime kuussa kyberturvallisuustutkimusryhmä SpiderLabs paljasti suuren kampanjan, joka edisti Eternidade Stealeria monimutkaisilla sosiaalisen manipuloinnin keinoilla haittaohjelmien levittämiseksi WhatsAppissa.

Syyskuussa ModStealer, toinen salainen tietovaras, havaittiin kohdistuvan kryptovaluuttalompakot Windowsin, Linuxin ja macOS:n kautta samalla kun se väisti suuria virustorjuntamoottoreita.