Специалисты «Лаборатории Касперского» обнаружили новый стилер Stealka. Троян нацелен на системы под управлением Windows и похищает конфиденциальную информацию — от логинов и паролей до данных платежных карт и криптокошельков.
Чаще всего атаки малвари фиксируются на устройствах в России, но также обнаружены атаки в других странах, включая Турцию, Бразилию, Германию и Индию.
Сообщается, что злоумышленники маскируют Stealka под легитимный софт: фальшивые моды и читы для игр, активаторы для различных программ. Такие фальшивки распространяют через популярные площадки вроде GitHub и SourceForge, а также через собственные сайты атакующих, имитирующие в том числе игровые ресурсы.
По словам исследователей, фейковые страницы сделаны качественно, и не исключено, что при их разработке используются ИИ-инструменты. На одном из таких ресурсов перед скачиванием даже имитируется сканирование файла «защитным решением», чтобы усыпить бдительность потенциальной жертвы.
В основе Stealka лежит другой вредонос — Rabbit Stealer. Троян собирает в зараженной системе логины, пароли, платежные данные, информацию о системе (версия ОС, список установленных приложений, запущенные процессы), но основной фокус делается на данных из браузеров.
Помимо этого малварь может делать скриншоты, а в некоторых случаях дополнительно загружает на скомпрометированную машину майнер криптовалюты.
«Помимо информации из браузеров, Stealka крадет конфиденциальные сведения из множества других источников — криптокошельков, мессенджеров, почтовых клиентов, приложений для создания заметок, игровых проектов. При этом для распространения зловреда злоумышленники могут использовать уже похищенные данные людей, например учетные. В частности, мы обнаружили признаки того, что в одном из случаев атакующие загрузили на специализированный сайт заражённый стилером мод для игры GTA V — со скомпрометированного аккаунта», — комментирует Артём Ушков, эксперт по кибербезопасности в «Лаборатории Касперского».
