Kaspersky semnalează malware-ul care se dă drept moderatori Roblox și GTAV pentru a fura date cripto

Kaspersky a avertizat asupra unui nou malware care se ascunde ca moduri de jocuri video și trișează pentru titluri populare precum Roblox și GTAV și vizează portofelele cripto.

Numit "Stealka", noul hoț de informații poate "deturna conturi, fura criptomonede și instala un miner de criptomonede pe dispozitivele victimelor," a avertizat Kaspersky într-o postare recentă pe blog. 

"Cel mai frecvent, acest hoț de informații se deghizează în crack-uri de joc, trișuri și moduri," a adăugat.

Pentru cei care nu știu, infostealers reprezintă o categorie de malware care permite actorilor rău intenționați să extragă informații confidențiale de pe dispozitivul victimei și să le trimită către un server la distanță.

În trecut, utilizatorii de criptomonede au fost constant vizați folosind acest vector de atac, adesea prin diverse aplicații, site-uri web și pachete de instalare mascate.

Cum țintește Stealka utilizatorii de criptomonede?

Potrivit firmei de securitate cibernetică, infractorii informatici distribuie Stealka pe platforme legitime precum GitHub, SourceForge și Google Sites, unde acestea sunt încărcate ca software spart și moduri pentru jocuri și aplicații populare.

Deoarece aceste platforme au o reputație de încredere și găzduiesc o comunitate mare open-source și de gaming, acestea oferă atacatorilor o modalitate convenabilă de a ajunge la un număr larg de utilizatori neavizați.

Malware-ul se activează odată ce utilizatorul descarcă fișierul malițios și îl rulează pe sistemul său.

Kaspersky estimează că campania este activă cel puțin din noiembrie 2025, iar instanțe ale malware-ului au fost găsite imitând diverse aplicații și jocuri populare. Vezi mai jos.

"Uneori, însă, atacatorii merg mai departe (și posibil folosesc instrumente AI) pentru a crea site-uri web false întregi care arată destul de profesionist. Fără ajutorul unui antivirus robust, utilizatorul obișnuit este puțin probabil să-și dea seama că ceva nu este în regulă," a adăugat Kaspersky.

Totuși, a menționat că unele dintre aceste site-uri false pot avea semne subtile, cum ar fi nume de produse nepotrivite sau descrieri ciudate sub forma unor afirmații exagerate care nu corespund software-ului real oferit.

În unele cazuri, aceste site-uri malițioase pretind că scanează fișiere folosind logo-urile producătorilor de antivirus pentru a asigura utilizatorii că descărcările sunt sigure, dar în realitate este doar o tactică ieftină pentru a-i păcăli să-și lase garda jos.

"Desigur, nu are loc o astfel de scanare; atacatorii încearcă doar să creeze o iluzie de încredere", a spus Kaspersky.

Odată instalat, Stealka țintește datele de la browserele dezvoltate pe motoarele Chromium și Gecko, două dintre cele mai utilizate platforme care stau la baza multor browsere populare, inclusiv Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, printre altele.

De acolo, poate fura date de completare automată, cum ar fi datele de autentificare, adresele salvate și detaliile cardurilor de plată.

Kaspersky a descoperit, de asemenea, că malware-ul poate viza setările și bazele de date a 115 extensii de browser pentru portofele crypto, inclusiv Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask și altele, alături de servicii de autentificare în doi pași precum Authy și Google Authenticator.

Este de remarcat că cel puțin 80 de aplicații de portofel ar putea fi expuse riscului, deoarece datele de configurare conțin detalii sensibile precum chei private, date de tip seed, căi ale fișierelor portofelului și parametri de criptare, a spus Kaspersky.

Cum să-ți menții activele cripto în siguranță

Pentru a preveni ca Stealka și malware-uri similare să compromită datele utilizatorilor, Kaspersky recomandă utilizarea unui antivirus fiabil și îi îndeamnă pe utilizatori să evite software-ul piratat și modurile neoficiale de joc.

Ca măsură suplimentară de siguranță, Kaspersky îi îndeamnă pe utilizatori să evite stocarea informațiilor sensibile în browsere.

Vectorii de atac folosiți de roboții de informații pentru a viza utilizatorii de criptomonede evoluează constant, ceea ce face ca astfel de amenințări să fie deosebit de îngrijorătoare.

De exemplu, luna trecută, echipa de cercetare în securitate cibernetică SpiderLabs a descoperit o campanie majoră care promova Eternidade Stealer folosind tactici complexe de inginerie socială pentru a distribui malware pe WhatsApp.

În septembrie, ModStealer, un alt infostealer discret, a fost descoperit că țintește portofelele de criptomonede din Windows, Linux și macOS, evitând în același timp principalele motoare antivirus.