Компания Kaspersky, специализирующаяся на кибербезопасности, обнаружила новый и сложный вредоносный код, предназначенный для кражи информации и напрямую нацеленный на пользователей криптовалют. Этот вредоносный код, получивший название «Stealka», предположительно впервые появился в ноябре 2025 года и распространяется через поддельные игровые модификации и пиратское программное обеспечение.
Распространение Stealka через, казалось бы, заслуживающие доверия платформы, такие как GitHub, SourceForge и Google Sites, затрудняет обнаружение угрозы.
Согласно анализу «Лаборатории Касперского», Stealka проникает в системы пользователей, маскируясь под читы и модификации для популярных игр (таких как Roblox и Grand Theft Auto V) или пиратские версии программного обеспечения, например, Microsoft Visio. Злоумышленники создают профессионально выглядящие поддельные веб-сайты, чтобы представить вредоносное ПО как легитимный контент, тем самым убеждая пользователей загрузить его.
Основная цель Stealka — браузеры на базе Chromium и Gecko. В список уязвимых браузеров входят более 100 моделей, включая Chrome, Firefox, Opera, Edge, Brave и Yandex Browser. Вредоносная программа может красть данные автозаполнения, такие как сохраненные учетные данные для входа, адреса и информацию о платежных картах. Она также пытается получить доступ к криптовалютным кошелькам, менеджерам паролей и службам двухфакторной аутентификации, используя настройки и базы данных расширений браузера.
Согласно отчету, Stealka напрямую атакует более 80 криптовалютных кошельков, включая MetaMask, Binance, Coinbase, Trust Wallet, Phantom, Crypto.com, SafePal, Exodus и другие. Вредоносная программа стремится получить крайне конфиденциальную информацию, такую как зашифрованные закрытые ключи, пути к файлам кошельков с сид-фразами и параметры шифрования. Получение этих данных представляет потенциальный риск, позволяя злоумышленникам получить несанкционированный доступ к криптоактивам и опустошить кошельки. Stealka также атакует конфигурационные файлы независимых приложений криптовалютных кошельков.
Stealka не ограничивается криптоэкосистемой, а также нацелена на мессенджеры, такие как Discord и Telegram, почтовые клиенты, игровые платформы, менеджеры паролей и VPN-сервисы. Такая широкая поверхность атаки расширяет возможности киберпреступников по взлому учетных записей и сбору информации для дальнейших атак.
Исследователь «Лаборатории Касперского» Артем Ушков заявил, что большинство пользователей, пострадавших от Stealka, находятся в России, но случаи заражения также были зафиксированы в Турции, Бразилии, Германии и Индии. Он также отметил, что злоумышленники продолжают распространять вредоносное ПО, используя взломанные учетные записи на легитимных сайтах по модификации игр, создавая таким образом цепную реакцию заражения.
Компания «Лаборатория Касперского» заявила, что, хотя Stealka потенциально может нанести значительный финансовый ущерб, до настоящего времени ни один из выявленных случаев не был подтвержден как крупномасштабная кража криптовалюты.
Эксперты рекомендуют пользователям избегать пиратского программного обеспечения и непроверенных модификаций игр, а скачивать их только из официальных и проверенных источников.
*Это не инвестиционная рекомендация.
