Introduktion till Stealka
Den nya skadliga koden, som först identifierades i november, har spridits via plattformar som GitHub, SourceForge och Google Sites, samt genom professionellt designade falska webbplatser. När den väl är installerad kan Stealka samla in autofyllningsdata från webbläsare, få tillgång till inställningar och databaser för mer än 100 webbläsare, och extrahera information från 115 webbläsartillägg, inklusive de som används för kryptovaluta-plånböcker, lösenordshanterare och tjänster för tvåfaktorsautentisering.
Phishing-schema och åtal
Separat har amerikanska åklagare åtalat en 23-årig man från Brooklyn, Ronald Spektor, för 31 brott relaterade till ett phishing-schema som stulit cirka 16 miljoner dollar i kryptovaluta från cirka 100 Coinbase-användare mellan april 2023 och december 2024.
Stealka och dess funktioner
Cybersäkerhetsföretaget Kaspersky har upptäckt en ny typ av skadlig kod som utgör ett hot mot kryptovalutaanvändare, spelare och vanliga Windows-användare. Den skadliga koden, kallad ”Stealka”, klassificeras som informationsstjälande programvara, vilket innebär att dess primära syfte är att tyst samla in känslig data från infekterade system.
Enligt Kaspersky sprids Stealka aktivt av angripare som förklädd den som fusk, cracks och modifikationer för videospel, särskilt de kopplade till populära titlar som Roblox, samt piratkopierad programvara för legitima applikationer som Microsoft Visio.
Spridning och risker
Vad som gör kampanjen särskilt oroande är hur den skadliga koden är värd och delas. Istället för att enbart förlita sig på obskyra eller uppenbart skadliga webbplatser, har angripare laddat upp Stealka till välkända plattformar, vilket ger filerna ett utseende av legitimitet som lätt kan vilseleda intet ont anande användare.
I vissa fall har operatörerna bakom Stealka gått ännu längre genom att skapa fullständiga falska webbplatser som ser professionella och pålitliga ut. Kaspersky-forskaren Artem Ushkov har påpekat att dessa sidor till och med kan genereras eller förbättras med hjälp av artificiell intelligens, vilket gör dem svårare för användare att särskilja från riktiga programvarudistributionssidor.
Farliga kapabiliteter
När den väl är installerad kan Stealka kapa onlinekonton, stjäla kryptovaluta och installera kryptovaluta-gruvor på offrens maskiner utan deras vetskap. Den skadliga kodens mest farliga kapabiliteter är kopplade till dess fokus på webbläsare byggda på Chromium– och Gecko-motorer. Detta sätter mer än 100 webbläsare i riskzonen, inklusive allmänt använda alternativ som Chrome, Firefox, Edge, Opera, Brave och andra.
Stealka riktar sig mot autofyllningsdata i webbläsare, vilket gör att den kan fånga inloggningsuppgifter, adresser och betalningskortsinformation. Utöver detta letar den specifikt efter data kopplad till webbläsartillägg, inklusive de som används för kryptovaluta-plånböcker, lösenordshanterare och tjänster för tvåfaktorsautentisering.
Rekommendationer för användare
För att minska risken för infektion rekommenderar Kaspersky användare att undvika piratkopierad programvara och oofficiella spelmodifikationer, använda pålitliga antiviruslösningar och förlita sig på dedikerade lösenordshanterare istället för att lagra känslig data direkt i webbläsare.
Ronald Spektors phishing-operation
Skadlig kod är inte det enda hotet som riktar sig mot kryptovalutaanvändare. Ronald Spektor, en 23-årig man från Brooklyn, åtalades för dussintals brott för att ha organiserat en storskalig phishing-operation som stulit cirka 16 miljoner dollar i kryptovaluta från Coinbase-användare över hela USA.
Brooklyn District Attorney’s Office meddelade i fredags att Spektor står inför 31 åtal inklusive grov stöld i första graden, penningtvätt och relaterade finansiella brott som härrör från ett schema som påstås ha pågått i mer än ett år. Åklagare säger att Spektor riktade sig mot cirka 100 offer mellan april 2023 och december 2024 genom att utge sig för att vara en kundsupportrepresentant för Coinbase.
Genom att utnyttja rädsla och brådska övertygade Spektor påstått offren att överföra sina kryptovaluta-innehav till nya plånböcker som han hemligt kontrollerade, vilket effektivt tömde deras konton. När medlen var stulna påstår myndigheterna att Spektor försökte dölja deras ursprung genom att tvätta vinsterna genom kryptomixer, token-swapping-tjänster och online-spelplattformar.
Utredare säger att schemat resulterade i förödande förluster för vissa offer, inklusive en invånare i Kalifornien som förlorade mer än 1 miljon dollar och ett offer i Virginia vars förluster översteg 900 000 dollar.
Avslutande tankar
Spektor påstås ha verkat online under aliaset ”Ronaldd” och använde handtaget ”” över plattformar. Åklagare säger att han också drev en Telegram-kanal kallad ”Blockchain enemies”, där han öppet skrytte om sina brott och till och med erkände att han förlorat så mycket som 6 miljoner dollar genom spel. Dessa inlägg blev senare en del av bevisen som användes mot honom.
Hittills har myndigheterna återfunnit cirka 105 000 dollar i kontanter och ungefär 400 000 dollar i kryptovaluta. Utredare har intervjuat mer än 70 offer under utredningen och identifierade slutligen nära 100 individer som påverkades av schemat. Coinbase VD Brian Armstrong bekräftade åtalspunkten i ett inlägg på X och varnade bedragare att de som riktar sig mot börsens kunder kommer att jagas och hållas ansvariga.
Blockchain-utredaren ZachXBT spelade också en nyckelroll i fallet efter att ha publicerat en utredning i november 2024 när ett offer som förlorade 6 miljoner dollar bad om hans hjälp.
