Robo de información disfrazado de mods de juegos apunta a tenencias de criptomonedas

Resumen Rápido

• El equipo de ciberseguridad de Kaspersky ha descubierto una nueva variante de infostealer llamada Stealka que extrae datos sensibles de navegadores y aplicaciones en Windows.
• El malware se distribuye a través de modificaciones de juegos falsificadas, especialmente para Roblox, en varias plataformas de intercambio de archivos.
• Actualmente, no hay datos suficientes sobre las pérdidas reales de criptomonedas atribuidas a esta campaña de infostealer.

Comprendiendo la Amenaza Stealka

Los investigadores de Kaspersky han identificado Stealka, un infostealer con capacidades sofisticadas de recopilación de credenciales, que se propaga mediante modificaciones fraudulentas y cracks disponibles en plataformas como GitHub, SourceForge, Softpedia y Google Sites. Al hacerse pasar por mejoras legítimas de juegos y parches de software, Stealka compromete datos del navegador y credenciales de autenticación que los atacantes explotan para acceder a activos digitales.

Alcance de los Sistemas Objetivo

Este infostealer demuestra un amplio alcance técnico en entornos Windows. El malware se enfoca específicamente en:

Cobertura de Navegadores: El infostealer opera contra los principales navegadores, incluyendo Chrome, Firefox, Opera, Yandex Browser, Edge y Brave, extrayendo credenciales de inicio de sesión y datos de sesión.

Exposición a Criptomonedas: Más de 100 extensiones de navegador están en riesgo, con especial atención a extensiones de monedero de plataformas líderes, herramientas de gestión de contraseñas (1Password, NordPass, LastPass), y aplicaciones de autenticación (Google Authenticator, Authy, Bitwarden). Más allá de los objetivos basados en navegador, Stealka puede recuperar claves privadas encriptadas, información de frases semilla y datos de configuración de monederos de aplicaciones independientes de criptomonedas que abarcan Bitcoin, Ethereum, Monero, Dogecoin y otras redes blockchain.

Superficie de Ataque Extendida: Las capacidades del infostealer se extienden a plataformas de mensajería (Discord, Telegram), aplicaciones de correo electrónico (Gmail, Outlook), software de toma de notas y clientes VPN, permitiendo el robo de credenciales en múltiples vectores más allá de los objetivos específicos de criptomonedas.

Patrón de Distribución Geográfica

La protección de endpoints de Kaspersky identificó las primeras detecciones de Stealka en noviembre de 2025 en sistemas Windows. Aunque Rusia representa la concentración principal de ataques, el malware también ha sido detectado en varias regiones, incluyendo Turquía, Brasil, Alemania e India.

Medidas de Protección

Los usuarios deben implementar estrategias de defensa en capas: mantener soluciones antivirus actualizadas, evitar modificaciones de software no oficiales y piratas, almacenar información sensible fuera del entorno del navegador y habilitar la autenticación de dos factores con códigos de respaldo almacenados localmente en lugar de en la nube.

Como señalaron los representantes de Kaspersky, no existen datos verificados sobre las cantidades de criptomonedas que se han logrado robar con éxito a través de Stealka, aunque todos los casos identificados han sido bloqueados por sus sistemas de detección.