Kaspersky đã cảnh báo rằng một phần mềm đánh cắp thông tin mới có tên "Stealka" đang được phát tán thông qua các bản mod trò chơi điện tử giả mạo và phần mềm crack, gây nguy hiểm cho người dùng tiền mã hóa và game thủ.
Phần mềm độc hại này được xác định vào tháng 11 năm 2025 và được phân phối dưới dạng các phần bổ trợ trò chơi hoặc bản crack tiện ích trông có vẻ vô hại. Các hệ thống chạy Windows là mục tiêu chính.
Kẻ Tấn Công Ẩn Phần Mềm Độc Hại Trong Các Bản Mod
Báo cáo tiết lộ rằng Stealka được ngụy trang dưới dạng cheat, mod và crack cho các tựa game phổ biến, với các gói giả mạo được đăng lên những nơi người dùng thường tin tưởng. Các tệp tin đã được phát hiện trên GitHub, SourceForge, Softpedia và Google Sites, điều này giúp các bản tải xuống trông có vẻ hợp pháp.
Trong một số trường hợp, phần mềm độc hại được đóng gói dưới dạng mod Roblox hoặc bản crack của Microsoft Visio. Theo Kaspersky, chiến dịch này sử dụng các trang web thuyết phục và có thể sử dụng các công cụ tự động để tạo ra các trang chuyên nghiệp nhằm đánh lừa mọi người nhấp vào liên kết tải xuống.
Dữ Liệu Và Ví Bị Nhắm Mục Tiêu
Khi được chạy, Stealka tìm kiếm dữ liệu trình duyệt, mật khẩu đã lưu và thông tin ví tiền mã hóa. Dựa trên báo cáo, nó nhắm mục tiêu đến hơn 115 tiện ích mở rộng trình duyệt liên quan đến ví, trình quản lý mật khẩu và ứng dụng xác thực hai yếu tố.
Các tiện ích mở rộng cho MetaMask, Binance Wallet, Coinbase và các ví phổ biến khác nằm trong số những mục tiêu có nguy cơ. Khóa riêng tư, cụm từ khôi phục (seed phrase) và đường dẫn tệp ví có thể bị lộ trên máy tính bị nhiễm, đồng thời thẻ trình duyệt đã lưu và mục tự động điền cũng bị thu thập.
Tài khoản của nạn nhân có thể bị chiếm đoạt bằng cách sử dụng thông tin đăng nhập bị đánh cắp, và quyền truy cập đó sau đó có thể được sử dụng để đẩy các liên kết độc hại tiếp theo cho bạn bè hoặc người theo dõi.
Cách Mối Đe Dọa Lây Lan Và Nơi Nó Xuất Hiện
Dữ liệu viễn thám của Kaspersky cho thấy các phát hiện ban đầu ở Nga, với các trường hợp bổ sung được báo cáo ở Thổ Nhĩ Kỳ, Brazil, Đức và Ấn Độ.
Phương thức phân phối khác nhau. Đôi khi một gói tải xuống duy nhất chứa Stealka; những lần khác, nó được ghép đôi với mã khai thác tiền mã hóa (cryptominer) để các máy tính bị nhiễm cũng khai thác tiền mã hóa cho những kẻ tấn công.
Các tệp tin được lưu trữ trên các cổng nhà phát triển đáng tin cậy khiến người dùng khó phát hiện nguy hiểm hơn, và phạm vi tiếp cận rộng của phần mềm độc hại có nghĩa là các biện pháp phòng ngừa tiêu chuẩn vẫn có thể bị bỏ qua nếu người dùng bỏ qua các bước an toàn cơ bản.
Khuyến Nghị Cho Người Dùng
Theo các khuyến nghị an ninh mạng, hãy tránh phần mềm không chính thức hoặc vi phạm bản quyền và chỉ tải xuống mod từ những người sáng tạo đã được xác minh, đáng tin cậy. Sử dụng sản phẩm chống vi-rút uy tín và luôn cập nhật nó.
Nên sử dụng trình quản lý mật khẩu thay vì lưu thông tin đăng nhập trong trình duyệt, và nên bật xác thực hai yếu tố cho các tài khoản tiền mã hóa khi có sẵn.
Luôn cập nhật các bản vá cho Windows và ứng dụng, đồng thời kiểm tra xem giá trị checksum hoặc chữ ký số của tệp đã tải xuống có khớp với giá trị được nhà phát triển công bố trước khi chạy trình cài đặt.
Hình ảnh nổi bật từ Kaspersky, biểu đồ từ TradingView
