Kaspersky flaggar skadlig kod som utger sig för att vara Roblox och GTAV-mods för att stjäla kryptodata

Kaspersky har varnat för en ny skadlig kod som döljer sig som videospelsmods och fusk för populära titlar som Roblox och GTAV och riktar in sig på kryptoplånböcker.

Kallad "Stealka" kan den nya infostealern "kapa konton, stjäla kryptovaluta och installera en kryptominer på offrens enheter," varnade Kaspersky i ett nyligen publicerat blogginlägg.

"Oftast förklär sig denna infostealer till spelsprickor, fusk och mods," tillade den.

För de som inte vet är infostealers en kategori av skadlig kod som tillåter illvilliga aktörer att extrahera konfidentiell information från offrets enhet och skicka den till en fjärrserver.

Tidigare har kryptoanvändare konsekvent blivit måltavlor med denna attackvektor, ofta genom olika förklädda applikationer, webbplatser och installationspaket.

Hur riktar sig Stealka till kryptoanvändare?

Enligt cybersäkerhetsföretaget distribuerar cyberbrottslingar Stealka på legitima plattformar som GitHub, SourceForge och Google Sites, där de laddas upp som knäckt programvara och mods för populära spel och applikationer.

Eftersom dessa plattformar har rykte om sig att vara pålitliga och har en stor open source- och spelgemenskap, ger det angriparna ett smidigt sätt att nå ett brett antal intet ont anande användare.

Skadlig programvara aktiveras när en användare laddar ner den skadliga filen och kör den på sitt system.

Kaspersky uppskattar att kampanjen har varit aktiv sedan åtminstone november 2025, och att exempel på skadlig kod har hittats som imiterar olika populära appar och spel. Se nedan.

"Ibland går angripare dock ett steg längre (och använder möjligen AI-verktyg) för att skapa hela falska webbplatser som ser ganska professionella ut. Utan hjälp av ett robust antivirusprogram är det osannolikt att den genomsnittlige användaren märker att något är fel," tillade Kaspersky.

Den noterade dock att några av dessa falska sajter kan ha subtila tecken, såsom omaka produktnamn eller märkliga beskrivningar i form av överdrivna påståenden som inte stämmer överens med den faktiska mjukvaran som erbjuds.

I vissa fall låtsas dessa skadliga webbplatser också skanna filer med hjälp av antivirusleverantörers logotyper för att försäkra användarna om att nedladdningarna är säkra, men i verkligheten är det bara en billig taktik för att lura dem att sänka garden.

"Självklart, ingen sådan skanning sker faktiskt; angriparna försöker bara skapa en illusion av pålitlighet," sade Kaspersky.

När Stealka väl är installerad riktar det sig mot data från webbläsare utvecklade på Chromium- och Gecko-motorer, två av de mest använda plattformarna som utgör grunden för många populära webbläsare, inklusive Chrome, Firefox, Opera, Yandex Browser, Edge, Brave med flera.

Därefter kan den stjäla autofyllningsdata som inloggningsuppgifter, sparade adresser och betalningskortsuppgifter.

Kaspersky fann också att skadlig kod kan rikta in sig på inställningarna och databaserna i 115 webbläsartillägg för kryptoplånböcker, inklusive Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask och andra, tillsammans med tvåfaktorsautentiseringstjänster som Authy och Google Authenticator.

Noterbart är att minst 80 plånboksapplikationer kan vara i riskzonen, eftersom plånbokskonfigurationsdata innehåller känsliga detaljer som privata nycklar, seed-phrase-data, plånboksfilvägar och krypteringsparametrar, enligt Kaspersky.

Hur du håller dina kryptotillgångar säkra

För att förhindra att Stealka och liknande skadlig kod komprometterar användardata rekommenderar Kaspersky att använda pålitlig antivirusprogramvara och uppmanar användare att undvika piratkopierad programvara och inofficiella spelmods.

Som en extra säkerhetsåtgärd uppmanar Kaspersky användare att undvika att lagra känslig information i webbläsare.

De attackvektorer som infostealers använder för att rikta in sig på kryptoanvändare utvecklas ständigt, vilket gör hot som dessa särskilt oroande.

Till exempel avslöjade cybersäkerhetsforskargruppen SpiderLabs förra månaden en stor kampanj som främjade Eternidade Stealer med komplexa sociala ingenjörsmetoder för att distribuera skadlig kod över WhatsApp.

I september upptäcktes att ModStealer, en annan smygande infostealer, riktade in sig på kryptovaluta plånböcker över Windows, Linux och macOS samtidigt som de undvek stora antivirusmotorer.