Kaspersky sinaliza malware que se passa por moderadores do Roblox e GTAV para roubar dados criptográficos

A Kaspersky alertou sobre um novo malware que se esconde como mods de videogame e trapaça para títulos populares como Roblox e GTAV, e tem como alvo wallets para criptomoedas.

Apelidado de "Stealka", o novo infostealer pode "sequestrar contas, roubar criptomoedas e instalar um minerador de criptomoedas nos dispositivos das vítimas", alertou a Kaspersky em um post recente no blog.

"Na maioria das vezes, esse infostealer se disfarça de cracks, trapaças e mods de jogos", acrescentou.

Para quem não sabe, roubos de informação são uma categoria de malware que permite que agentes mal-intencionados extraiam informações confidenciais do dispositivo da vítima e as enviem para um servidor remoto.

No passado, usuários de criptomoedas foram consistentemente alvo desse vetor de ataque, frequentemente por meio de uma variedade de aplicativos, sites e pacotes de instaladores disfarçados.

Como o Stealka mira os usuários de criptomoedas?

Segundo a empresa de cibersegurança, cibercriminosos estão distribuindo o Stealka em plataformas legítimas como GitHub, SourceForge e Google Sites, onde são enviados como softwares crackeados e mods para jogos e aplicativos populares.

Como essas plataformas têm reputação de confiabilidade e abrigam uma grande comunidade de código aberto e jogos, elas oferecem aos atacantes uma forma conveniente de alcançar um grande número de usuários desavisados.

O malware ativa assim que o usuário baixa o arquivo malicioso e o executa no sistema dele.

A Kaspersky estima que a campanha está ativa desde pelo menos novembro de 2025, e casos do malware foram encontrados imitando vários aplicativos e jogos populares. Veja abaixo.

"Às vezes, porém, atacantes vão além (e possivelmente usam ferramentas de IA) para criar sites falsos inteiros que parecem bastante profissionais. Sem a ajuda de um antivírus robusto, o usuário médio dificilmente perceberá que algo está errado", acrescentou Kaspersky.

No entanto, observou que alguns desses sites falsos podem ter sinais sutis, como nomes de produtos desalinhados ou descrições estranhas na forma de alegações exageradas que não correspondem ao software real oferecido.

Em alguns casos, esses sites maliciosos também fingem escanear arquivos usando logos de fabricantes de antivírus para garantir aos usuários que os downloads são seguros, mas na realidade, é apenas uma tática barata para enganá-los e fazê-los baixar a guarda.

"Claro, tal escaneamento não acontece de fato; os atacantes estão apenas tentando criar uma ilusão de confiabilidade", disse Kaspersky.

Uma vez instalado, o Stealka direciona dados de navegadores desenvolvidos nos motores Chromium e Gecko, duas das plataformas mais amplamente utilizadas que formam a base de muitos navegadores populares, incluindo Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, entre outros.

A partir daí, ele pode roubar dados de preenchimento automático, como credenciais de login, endereços salvos e dados de cartão de pagamento.

A Kaspersky também descobriu que o malware pode atingir as configurações e bancos de dados de 115 extensões de navegador para wallets para criptomoedas, incluindo Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask e outros, além de serviços de autenticação em dois fatores como Authy e Google Authenticator.

Notavelmente, pelo menos 80 aplicativos de carteira podem estar em risco, já que os dados de configuração da carteira contêm detalhes sensíveis como chaves privadas, dados de frases semente, caminhos de arquivos de carteira e parâmetros de criptografia, disse a Kaspersky.

Como manter seus ativos cripto seguros

Para evitar que o Stealka e malwares similares comprometam os dados dos usuários, a Kaspersky recomenda o uso de antivírus confiável e incentiva os usuários a evitarem softwares pirateados e mods de jogos não oficiais.

Como medida adicional de segurança, a Kaspersky incentiva os usuários a evitarem armazenar informações sensíveis nos navegadores.

Os vetores de ataque usados pelos infostealers para atingir usuários de criptomoedas estão em constante evolução, o que torna ameaças como essas especialmente preocupantes.

Por exemplo, no mês passado, a equipe de pesquisa em cibersegurança SpiderLabs descobriu uma grande campanha que promoveu o Eternidade Stealer usando táticas complexas de engenharia social para implantar malware pelo WhatsApp.

Em setembro, o ModStealer, outro infostealer furtivo, foi descoberto mirando wallets criptomoedas no Windows, Linux e macOS enquanto evita grandes motores antivírus.