Kaspersky flagger skadevare som utgir seg for å være Roblox og GTAV-mods for å stjele kryptodata

Kaspersky har advart om en ny skadelig programvare som skjuler seg som videospillmods og juks for populære titler som Roblox og GTAV, og som retter seg mot krypto lommebøker.

Kalt «Stealka», kan den nye infostealeren «kapre kontoer, stjele kryptovaluta og installere en kryptominer på ofrenes enheter», advarte Kaspersky i et nylig blogginnlegg.

"Oftest forkler denne infostealeren seg som spillsprekker, juks og modifikasjoner," la den til.

For de som ikke vet det, er infotyvere en kategori skadevare som lar ondsinnede aktører hente konfidensiell informasjon fra offerets enhet og sende den til en ekstern server.

Tidligere har kryptobrukere konsekvent blitt målrettet ved bruk av denne angrepsvektoren, ofte gjennom ulike forkledde applikasjoner, nettsteder og installasjonspakker.

Hvordan retter Stealka seg mot kryptobrukere?

Ifølge cybersikkerhetsfirmaet distribuerer nettkriminelle Stealka på legitime plattformer som GitHub, SourceForge og Google Sites, hvor de lastes opp som knekket programvare og mods for populære spill og applikasjoner.

Siden disse plattformene har rykte på seg for pålitelighet og huser et stort open source- og spillmiljø, gir det angriperne en praktisk måte å nå et bredt antall intetanende brukere på.

Skadevaren aktiveres når en bruker laster ned den ondsinnede filen og kjører den på sitt eget system.

Kaspersky anslår at kampanjen har vært aktiv siden minst november 2025, og tilfeller av skadelig programvare har blitt funnet som etterligner ulike populære apper og spill. Se nedenfor.

"Noen ganger går angripere imidlertid et skritt videre (og bruker muligens AI-verktøy) for å lage hele falske nettsider som ser ganske profesjonelle ut. Uten hjelp av et robust antivirusprogram er det lite sannsynlig at den gjennomsnittlige brukeren vil merke at noe er galt," la Kaspersky til.

De påpekte imidlertid at noen av disse falske sidene kan ha subtile tegn, som uoverensstemmende produktnavn eller merkelige beskrivelser i form av overdrevne påstander som ikke stemmer med den faktiske programvaren som tilbys.

I noen tilfeller later disse ondsinnede nettstedene også som om de skanner filer ved hjelp av logoer til antivirusleverandører for å forsikre brukerne om at nedlastingene er trygge, men i realiteten er det bare en billig taktikk for å lure dem til å senke garden.

"Selvfølgelig foregår ingen slik skanning faktisk; angriperne prøver bare å skape en illusjon av pålitelighet," sa Kaspersky.

Når den er installert, retter Stealka seg mot data fra nettlesere utviklet på Chromium- og Gecko-motorer, to av de mest brukte plattformene som danner grunnlaget for mange populære nettlesere, inkludert Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, blant andre.

Derfra kan den stjele autofyllingsdata som innloggingsopplysninger, lagrede adresser og betalingskortdetaljer.

Kaspersky fant også at skadevaren kan ramme innstillingene og databasene til 115 nettleserutvidelser for krypto lommebøker, inkludert Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask og andre, sammen med tofaktorautentiseringstjenester som Authy og Google Authenticator.

Det er verdt å merke seg at minst 80 lommebokapplikasjoner kan være i fare, ettersom lommebokkonfigurasjonsdata inneholder sensitive detaljer som private nøkler, seed-phrase-data, lommebokfilstier og krypteringsparametere, opplyste Kaspersky.

Hvordan holde kryptoeiendelene dine trygge

For å forhindre at Stealka og lignende skadevare kompromitterer brukerdata, anbefaler Kaspersky å bruke pålitelig antivirusprogramvare og oppfordrer brukere til å unngå piratkopiert programvare og uoffisielle spillmods.

Som et ekstra sikkerhetstiltak oppfordrer Kaspersky brukere til å unngå å lagre sensitiv informasjon i nettlesere.

Angrepsvektorene som infotyvere bruker for å målrette kryptobrukere er i stadig endring, noe som gjør slike trusler spesielt bekymringsfulle.

For eksempel avdekket cybersikkerhetsforskningsteamet SpiderLabs forrige måned en stor kampanje som promoterte Eternidade Stealer, ved å bruke komplekse sosiale ingeniørtaktikker for å distribuere skadelig programvare over WhatsApp.

Tilbake i september ble det oppdaget at ModStealer, en annen snikende infostealer, rettet seg mot kryptovaluta lommebøker på tvers av Windows, Linux og macOS samtidig som de unngikk store antivirusmotorer.