Phần mềm độc hại Stealka và mối đe dọa từ các mod vi phạm bản quyền
Các hacker đang chèn phần mềm độc hại infostealer vào các mod vi phạm bản quyền cho Roblox và các trò chơi khác, theo nghiên cứu từ công ty an ninh mạng Kaspersky. Một bài viết trên blog của Kaspersky tiết lộ rằng họ đã xác định một loại infostealer mới có tên là Stealka, mà họ đã phát hiện trên các nền tảng phân phối như GitHub, SourceForge, Softpedia và sites.google.com.
Chức năng và mục tiêu của Stealka
Ngụy trang dưới dạng các mod không chính thức, gian lận và crack cho các trò chơi và ứng dụng trên nền tảng Windows, Stealka lấy cắp thông tin đăng nhập nhạy cảm và thông tin trình duyệt, mà các nhà điều hành của nó có thể sử dụng để đánh cắp tiền điện tử. Phần mềm độc hại này chủ yếu nhắm đến dữ liệu được lưu trữ trong các trình duyệt như Chrome, Firefox, Opera, Yandex Browser, Edge, Brave, cũng như các cài đặt và cơ sở dữ liệu của hơn 100 tiện ích mở rộng trình duyệt.
Các tiện ích mở rộng này bao gồm ví tiền điện tử từ Binance, Coinbase, MetaMask, Crypto.com và Trust Wallet, cũng như các ứng dụng quản lý mật khẩu (1Password, NordPass, LastPass) và các ứng dụng xác thực hai yếu tố (Google Authenticator, Authy, Bitwarden).
Thực tế, tầm với của Stealka không dừng lại ở các tiện ích mở rộng trình duyệt, vì nó cũng có thể lấy (mã hóa) khóa riêng, dữ liệu cụm từ hạt giống và đường dẫn tệp ví từ các ứng dụng ví tiền điện tử độc lập. Điều này bao gồm các ứng dụng từ Binance, Exodus, MyCrypto và MyMonero, cũng như các ứng dụng ví cho Bitcoin, BitcoinABC, Dogecoin, Ethereum, Monero, Novacoin và Solar.
Khả năng đánh cắp dữ liệu của Stealka
Ngoài tiền điện tử, phần mềm độc hại Stealka còn có khả năng đánh cắp dữ liệu và mã thông báo xác thực cho các ứng dụng nhắn tin (ví dụ: Discord và Telegram), ứng dụng quản lý mật khẩu (ví dụ: 1Password, Bitwarden, LastPass), khách hàng email (ví dụ: Gmail Notifier Pro, Mailbird, Outlook), ứng dụng ghi chú (ví dụ: NoteFly, Notezilla, Microsoft StickyNotes), và khách hàng VPN (ví dụ: OpenVPN, ProtonVPN, WindscribeVPN).
Nói với Decrypt, chuyên gia an ninh mạng Kaspersky Artem Ushkov giải thích rằng phần mềm độc hại mới này “đã được phát hiện bởi các giải pháp bảo vệ điểm cuối của Kaspersky trên các máy Windows vào tháng 11 năm 2025.”
Như trường hợp với các phần mềm độc hại tương tự, Ushkov báo cáo rằng hầu hết người dùng bị nhắm đến bởi Stealka đều có trụ sở tại Nga. “Tuy nhiên, các cuộc tấn công của phần mềm độc hại cũng đã được phát hiện ở các quốc gia khác, bao gồm Türkiye, Brazil, Đức và Ấn Độ,” ông thêm vào.
Biện pháp phòng ngừa và khuyến nghị
Để đối phó với mối đe dọa Stealka, Kaspersky khuyên trong blog của mình rằng, ngoài việc sử dụng phần mềm diệt virus uy tín, người dùng nên tránh xa các mod không chính thức và vi phạm bản quyền. Blog cũng khuyên không nên lưu trữ thông tin quan trọng trong các trình duyệt, và khuyến khích người dùng sử dụng xác thực hai yếu tố ở bất cứ đâu có thể, đồng thời cũng sử dụng mã sao lưu (nhưng không lưu trữ chúng trên trình duyệt hoặc trong tài liệu văn bản).
Mặc dù tiềm năng của Stealka trong việc đánh cắp thông tin và, do đó, tiền điện tử có vẻ đáng sợ, hiện tại không có dấu hiệu nào cho thấy nó đã dẫn đến tổn thất đáng kể. “Chúng tôi không biết số lượng tiền điện tử đã bị đánh cắp bằng cách sử dụng nó,” Ushkov nói. “Các giải pháp của chúng tôi bảo vệ chống lại mối đe dọa này: tất cả phần mềm độc hại Stealka được phát hiện đều đã bị chặn bởi các giải pháp của chúng tôi.”
