Kaspersky zgłasza złośliwe oprogramowanie podszywające się pod Roblox i mody GTAV, aby ukraść dane kryptograficzne

Kaspersky ostrzegł przed nowym złośliwym oprogramowaniem, które ukrywa się jako mody do gier wideo i cheaty do popularnych tytułów takich jak Roblox i GTAV i atakuje portfele kryptowalut.

Nazwany "Stealka", nowy infostealer może "przejmować konta, kraść kryptowaluty i instalować koparkę kryptowalut na urządzeniach swoich ofiar", jak ostrzegł Kaspersky w niedawnym wpisie na blogu.

"Najczęściej ten infostealer podszywa się pod cracki, cheaty i mody," dodali.

Dla tych, którzy nie wiedzą, infostealery to kategoria złośliwego oprogramowania, które pozwala nieuczciwym podmiotom wydobyć poufne informacje z urządzenia ofiary i przesłać je na zdalny serwer.

W przeszłości użytkownicy kryptowalut byli konsekwentnie celem ataku za pomocą tego wektora ataku, często poprzez różne ukryte aplikacje, strony internetowe i pakiety instalacyjne.

Jak Stealka kieruje działania do użytkowników kryptowalut?

Według firmy zajmującej się cyberbezpieczeństwem, cyberprzestępcy rozpowszechniają Stealkę na legalnych platformach, takich jak GitHub, SourceForge czy Google Sites, gdzie jest przesyłana jako złamane oprogramowanie i mody do popularnych gier i aplikacji.

Ponieważ platformy te mają opinię godnych zaufania i mają dużą społeczność open-source oraz graczy, dają atakującym wygodny sposób na dotarcie do szerokiej grupy niczego nieświadomych użytkowników.

Złośliwe oprogramowanie aktywuje się, gdy użytkownik pobierze złośliwy plik i uruchomi go na swoim systemie.

Kaspersky szacuje, że kampania jest aktywna co najmniej od listopada 2025 roku, a przypadki złośliwego oprogramowania zostały znalezione imitujące różne popularne aplikacje i gry. Zobacz poniżej.

"Czasem jednak atakujący idą o krok dalej (i być może używają narzędzi AI), tworząc całe fałszywe strony internetowe, które wyglądają bardzo profesjonalnie. Bez pomocy solidnego antywirusa przeciętny użytkownik raczej nie zauważy, że coś jest nie tak," dodał Kaspersky.

Zauważono jednak, że niektóre z tych fałszywych stron mogą mieć subtelne oznaki, takie jak niedopasowane nazwy produktów lub dziwne opisy w postaci przesadzonych twierdzeń, które nie odpowiadają faktycznie oferowanemu oprogramowaniu.

W niektórych przypadkach te złośliwe strony również udają skanowanie plików, używając logotypów producentów antywirusów, by zapewnić użytkowników, że pobrane są bezpieczne, ale w rzeczywistości jest to tylko tania taktyka, by zmusić ich do opuszczenia gardy.

"Oczywiście, takie skanowanie nie ma miejsca; atakujący jedynie próbują stworzyć iluzję wiarygodności" – powiedział Kaspersky.

Po zainstalowaniu Stealka celuje w dane z przeglądarek opracowanych na silnikach Chromium i Gecko, dwóch z najczęściej używanych platform, które stanowią podstawę wielu popularnych przeglądarek, w tym Chrome, Firefox, Opera, Yandex Browser, Edge, Brave i innych.

Od tego momentu może kraść dane automatycznego wypełniania, takie jak dane logowania, zapisane adresy i dane karty płatniczej.

Kaspersky odkrył również, że złośliwe oprogramowanie może atakować ustawienia i bazy danych 115 rozszerzeń przeglądarek dla portfele kryptowalut, w tym Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask i innych, a także usługi uwierzytelniania dwuskładnikowego, takie jak Authy i Google Authenticator.

Co istotne, co najmniej 80 aplikacji portfelowych może być zagrożonych, ponieważ dane konfiguracyjne portfela zawierają wrażliwe informacje, takie jak klucze prywatne, dane frazowe seed, ścieżki plików portfela oraz parametry szyfrowania, podała Kaspersky.

Jak chronić swoje aktywa kryptowalutowe

Aby zapobiec kompromitowaniu danych użytkowników przez Stealkę i podobne złośliwe oprogramowanie, Kaspersky zaleca korzystanie z niezawodnego oprogramowania antywirusowego oraz zachęca do unikania pirackiego oprogramowania i nieoficjalnych modów do gier.

Jako dodatkowy środek bezpieczeństwa Kaspersky apeluje do unikania przechowywania wrażliwych informacji w przeglądarkach.

Wektory ataków wykorzystywane przez infostealerów do atakowania użytkowników kryptowalut stale się zmieniają, co czyni takie zagrożenia szczególnie niepokojącymi.

Na przykład w zeszłym miesiącu zespół badawczy ds. cyberbezpieczeństwa SpiderLabs ujawnił dużą kampanię, która promowała Eternidade Stealer wykorzystującego skomplikowane taktyki inżynierii społecznej do wdrażania złośliwego oprogramowania na WhatsApp.

We wrześniu ModStealer, kolejny skryty infostealer, okazał się atakować portfele do kryptowalut na Windows, Linux i macOS, unikając jednocześnie głównych silników antywirusowych.