伪装成游戏模组的信息窃取者针对加密货币持有量

快速概览

• 卡巴斯基的网络安全团队发现了一种名为 Stealka 的新型信息窃取变体，能够从 Windows 浏览器和应用程序中提取敏感数据。
• 该恶意软件通过伪造的游戏修改，特别是针对 Roblox，在各种文件分享平台上传播。
• 目前关于该信息窃取器活动导致的实际加密货币损失的数据尚不充分。

了解 Stealka 威胁

卡巴斯基的研究人员已识别出 Stealka，这是一种具有复杂凭证收集能力的信息窃取器，通过在 GitHub、SourceForge、Softpedia 和 Google Sites 等平台上的虚假修改和破解程序传播。Stealka 伪装成合法的游戏增强和软件补丁，窃取浏览器数据和认证凭证，攻击者利用这些信息访问数字资产。

目标系统范围

该信息窃取器在 Windows 环境中展现出广泛的技术覆盖能力。恶意软件特别关注：

浏览器覆盖范围： 该信息窃取器针对 Chrome、Firefox、Opera、Yandex 浏览器、Edge 和 Brave 等主要浏览器，提取登录凭证和会话数据。

加密货币相关： 超过 100 个浏览器扩展受到威胁，特别是来自领先平台的钱包扩展、密码管理工具 (1Password、NordPass、LastPass)，以及认证应用 (Google Authenticator、Authy、Bitwarden)。除了基于浏览器的目标外，Stealka 还能从独立的加密货币应用中检索加密私钥、种子短语信息和钱包配置数据，涵盖比特币、以太坊、门罗币、狗狗币及其他区块链网络。

扩展的攻击面： 该信息窃取器的能力扩展到消息平台 (Discord、Telegram)、电子邮件应用 (Gmail、Outlook)、笔记软件和 VPN 客户端，实现多向凭证窃取，超越加密货币相关目标。

地理分布模式

卡巴斯基的端点保护系统在 2025 年 11 月首次检测到 Stealka 在 Windows 系统上的存在。虽然俄罗斯是主要的攻击集中地区，但该恶意软件也在土耳其、巴西、德国和印度等多个地区被检测到。

保护措施

用户应采取多层防御策略：保持最新的杀毒软件，避免非官方和盗版软件修改，将敏感信息存储在浏览器环境之外，并启用双因素认证，使用本地存储的备份代码而非云端存储。

正如卡巴斯基代表所指出的，目前没有关于通过 Stealka 成功窃取的加密货币金额的验证数据，所有已识别的案例都已被其检测系统阻止。