Kaspersky segnala malware che si spacciano per Roblox e moderatori GTAV per rubare dati crypto

Kaspersky ha avvertito di un nuovo malware che si nasconde come mod di videogiochi e trucca per titoli popolari come Roblox e GTAV, prendendo di mira wallet crypto.

Soprannominato "Stealka", il nuovo infostealer può "dirottare account, rubare criptovalute e installare un miner di criptovalute sui dispositivi delle vittime", ha avvertito Kaspersky in un recente post sul blog.

"Più spesso, questo infostealer si traveste da crack di gioco, trucchi e mod," aggiungeva.

Per chi non lo sapesse, gli infostealer sono una categoria di malware che permette a malintenzionati di estrarre informazioni riservate dal dispositivo della vittima e inviarle a un server remoto.

In passato, gli utenti crypto sono stati costantemente prese di mira usando questo vettore di attacco, spesso tramite una varietà di applicazioni, siti web e pacchetti di installazione mascherati.

Come mira Stealka agli utenti crypto?

Secondo la società di cybersecurity, i cybercriminali stanno distribuendo Stealka su piattaforme legittime come GitHub, SourceForge e Google Sites, dove vengono caricati come software crack e mod per giochi e applicazioni popolari.

Poiché queste piattaforme hanno la reputazione di essere affidabili e ospitano una vasta comunità open-source e di gaming, offrono agli aggressori un modo comodo per raggiungere un ampio numero di utenti ignari.

Il malware si attiva una volta che l'utente scarica il file malevolo ed esegue sul proprio sistema.

Kaspersky stima che la campagna sia attiva almeno da novembre 2025, e che siano stati trovati episodi del malware che imitano varie app e giochi popolari. Vedi sotto.

"A volte, però, gli aggressori vanno oltre (e possibilmente usano strumenti di IA) per creare interi siti web falsi che appaiono piuttosto professionali. Senza l'aiuto di un antivirus robusto, l'utente medio difficilmente si accorgerà che qualcosa non va," ha aggiunto Kaspersky.

Tuttavia, ha osservato che alcuni di questi siti falsi possono presentare segni sottili, come nomi di prodotti disadattati o descrizioni strane sotto forma di affermazioni esagerate che non corrispondono al software effettivamente offerto.

In alcuni casi, questi siti dannosi fingono anche di scansionare i file usando i loghi dei fornitori di antivirus per assicurare agli utenti che i download sono sicuri, ma in realtà è solo una tattica a buon mercato per ingannarli e farli abbassare la guardia.

"Naturalmente, nessuna scansione del genere avviene realmente; gli aggressori stanno solo cercando di creare un'illusione di affidabilità," ha detto Kaspersky.

Una volta installato, Stealka prende di mira i dati provenienti da browser sviluppati con i motori Chromium e Gecko, due delle piattaforme più utilizzate che costituiscono la base di molti browser popolari tra cui Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, tra gli altri.

Da lì in poi, può rubare dati di autocompilazione come credenziali di accesso, indirizzi salvati e dati della carta di pagamento.

Kaspersky ha anche scoperto che il malware può colpire le impostazioni e i database di 115 estensioni browser per wallet crypto, tra cui Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask e altri, insieme a servizi di autenticazione a due fattori come Authy e Google Authenticator.

In particolare, almeno 80 applicazioni wallet potrebbero essere a rischio, poiché i dati di configurazione del wallet contengono dettagli sensibili come chiavi private, dati di semi-frase, percorsi dei file wallet e parametri di crittografia, ha detto Kaspersky.

Come mantenere al sicuro i tuoi asset crypto

Per evitare che Stealka e malware simili compromettano i dati degli utenti, Kaspersky consiglia l'uso di un antivirus affidabile e invita gli utenti a evitare software piratati e mod di gioco non ufficiali.

Come ulteriore misura di sicurezza, Kaspersky invita gli utenti a evitare di memorizzare informazioni sensibili nei browser.

I vettori di attacco utilizzati dagli infostealer per colpire gli utenti crypto sono in costante evoluzione, il che rende minacce come queste particolarmente preoccupanti.

Ad esempio, il mese scorso, il team di ricerca sulla cybersecurity SpiderLabs ha scoperto una grande campagna che promuoveva l'Eternidade Stealer utilizzando complesse tattiche di ingegneria sociale per distribuire malware su WhatsApp.

A settembre, ModStealer, un altro infostealer stealth, è stato scoperto che stava wallet criptovalute di mira su Windows, Linux e macOS evitando i principali motori antivirus.