Kaspersky markeert malware die zich voordoet als Roblox en GTAV-mods om cryptodata te stelen

Kaspersky heeft gewaarschuwd voor een nieuwe malware die zich verbergt als videogamemods en cheats voor populaire titels zoals Roblox en GTAV, en zich richt op crypto wallets.

De nieuwe infostealer, genaamd "Stealka," kan "accounts kapen, cryptocurrency stelen en een cryptominer installeren op de apparaten van hun slachtoffers," waarschuwde Kaspersky in een recent blogbericht.

"Meestal vermomt deze infostealer zich als game cracks, cheats en mods," voegde hij toe.

Voor wie het niet weet: infostealers zijn een categorie malware die kwaadwillenden in staat stelt vertrouwelijke informatie van het apparaat van een slachtoffer te halen en naar een externe server te sturen.

In het verleden werden cryptogebruikers consequent doelwit van deze aanvalsvector, vaak via diverse vermomde applicaties, websites en installerpakketten.

Hoe richt Stealka zich op cryptogebruikers?

Volgens het cyberbeveiligingsbedrijf verspreiden cybercriminelen Stealka via legitieme platforms zoals GitHub, SourceForge en Google Sites, waar het wordt geüpload als gekraakte software en mods voor populaire games en applicaties.

Omdat deze platforms een reputatie hebben voor betrouwbaarheid en een grote open-source en gaminggemeenschap huisvesten, bieden ze aanvallers een handige manier om een breed aantal nietsvermoedende gebruikers te bereiken.

De malware activeert zodra een gebruiker het kwaadaardige bestand downloadt en op zijn systeem draait.

Kaspersky schat dat de campagne sinds minstens november 2025 actief is, en dat er gevallen van de malware zijn gevonden die verschillende populaire apps en spellen imiteren. Zie hieronder.

"Soms gaan aanvallers echter een stap verder (en gebruiken mogelijk AI-tools) om complete nepwebsites te maken die er behoorlijk professioneel uitzien. Zonder de hulp van een robuust antivirusprogramma zal de gemiddelde gebruiker waarschijnlijk niet merken dat er iets mis is," voegde Kaspersky eraan toe.

Er werd echter opgemerkt dat sommige van deze nepsites subtiele signalen kunnen hebben, zoals niet overeenkomende productnamen of vreemde beschrijvingen in de vorm van overdreven claims die niet overeenkomen met de daadwerkelijke aangeboden software.

In sommige gevallen doen deze kwaadaardige websites ook alsof ze bestanden scannen met logo's van antivirusleveranciers om gebruikers te verzekeren dat de downloads veilig zijn, maar in werkelijkheid is het slechts een goedkope tactiek om hen te misleiden zodat ze hun waakzaamheid verlagen.

"Natuurlijk vindt zo'n scanning niet plaats; de aanvallers proberen slechts een illusie van betrouwbaarheid te creëren," zei Kaspersky.

Eenmaal geïnstalleerd richt Stealka zich op data van browsers die zijn ontwikkeld op Chromium- en Gecko-engines, twee van de meest gebruikte platforms die de basis vormen voor veel populaire browsers, waaronder Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, en anderen.

Vanaf dat moment kan het automatisch invullen van gegevens stelen, zoals inloggegevens, opgeslagen adressen en betaalkaartgegevens.

Kaspersky ontdekte ook dat de malware de instellingen en databases van 115 browserextensies voor crypto wallets kan raken, waaronder Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask en anderen, naast tweefactorauthenticatiediensten zoals Authy en Google Authenticator.

Opvallend is dat minstens 80 walletapplicaties risico lopen, aangezien walletconfiguratiegegevens gevoelige gegevens bevatten zoals privésleutels, seedphrase-gegevens, wallet-bestandspaden en encryptieparameters, aldus Kaspersky.

Hoe je je crypto-activa veilig houdt

Om te voorkomen dat Stealka en vergelijkbare malware gebruikersgegevens compromitteren, raadt Kaspersky aan betrouwbare antivirussoftware te gebruiken en raadt gebruikers aan om illegale software en onofficiële gamemods te vermijden.

Als extra veiligheidsmaatregel raadt Kaspersky gebruikers aan om gevoelige informatie niet in browsers op te slaan.

De aanvalsvectoren die infostealers gebruiken om cryptogebruikers te targeten, evolueren voortdurend, wat dit soort bedreigingen extra zorgwekkend maakt.

Zo ontdekte het cybersecurity-onderzoeksteam SpiderLabs vorige maand een grote campagne die de Eternidade Stealer promootte, waarbij complexe social engineering-tactieken werden gebruikt om malware over WhatsApp te verspreiden.

In september bleek ModStealer, een andere stealth-infostealer, zich te richten op cryptocurrency wallets op Windows, Linux en macOS terwijl hij grote antivirus-engines ontweek.