偽裝成遊戲模組的資訊竊取者針對加密貨幣持有量

快速概述

• 卡巴斯基的網絡安全團隊發現了一種名為 Stealka 的新型資訊盜取變體，能從 Windows 瀏覽器和應用程式中提取敏感資料。
• 該惡意軟體通過假冒的遊戲修改版，特別是 Roblox，並在各種檔案分享平台上散布。
• 目前尚無足夠資料顯示此資訊盜取活動造成的實際加密貨幣損失。

了解 Stealka 威脅

卡巴斯基的研究人員已識別出 Stealka，這是一款具有高級憑證收集能力的資訊盜取工具，通過在 GitHub、SourceForge、Softpedia 和 Google Sites 等平台上的欺詐性修改和破解程序傳播。Stealka 假扮成合法的遊戲增強工具和軟體補丁，危害瀏覽器資料和認證憑證，攻擊者利用這些資料存取數位資產。

目標系統範圍

此資訊盜取工具展現出對 Windows 環境的廣泛技術覆蓋。惡意軟體特別針對：

瀏覽器範圍： 該資訊盜取工具針對 Chrome、Firefox、Opera、Yandex 瀏覽器、Edge 和 Brave 等主要瀏覽器，提取登入憑證和會話資料。

加密貨幣曝露： 超過 100 個瀏覽器擴充功能受到威脅，尤其是來自領先平台的錢包擴充工具、密碼管理工具 (1Password、NordPass、LastPass)，以及認證應用程式 (Google Authenticator、Authy、Bitwarden)。除了瀏覽器相關目標外，Stealka 還能從獨立的加密貨幣應用程式中提取加密私鑰、種子短語資訊和錢包設定資料，涵蓋比特幣、以太坊、門羅幣、狗狗幣及其他區塊鏈網路。

擴展攻擊面： 此資訊盜取工具的能力擴展至訊息平台 (Discord、Telegram)、電子郵件應用程式 (Gmail、Outlook)、筆記軟體和 VPN 客戶端，實現多向的憑證竊取，超越純粹的加密貨幣目標。

地理分佈模式

卡巴斯基端點防護系統於 2025 年 11 月首次在 Windows 系統上偵測到 Stealka。雖然俄羅斯是主要攻擊集中區，但該惡意軟體也在土耳其、巴西、德國和印度等多個地區被偵測到。

防護措施

用戶應採取多層防禦策略：保持最新的防病毒軟體，避免非官方和盜版軟體修改，將敏感資訊存放在瀏覽器環境之外，並啟用雙重驗證，使用本地存儲的備用碼而非雲端存儲。

正如卡巴斯基代表所指出，目前尚無關於通過 Stealka 成功盜取的加密貨幣數量的驗證資料，但所有已識別的案例都已被其偵測系統阻擋。