Cibercriminosos estão cada vez mais escondendo o malware stealka dentro de mods de jogos e ferramentas pirateadas, transformando plataformas de download confiáveis em armadilhas para usuários de criptomoedas.
Infostealer Stealka escondido em mods de jogos e software pirateado
A empresa de cibersegurança Kaspersky identificou um novo infostealer sofisticado chamado Stealka, descrito como um grande risco para os detentores de criptomoedas. Primeiro detectado em novembro de 2025, o malware se espalha por meio de falsas modificações de jogos e software pirateado compartilhado em plataformas como GitHub, SourceForge e Google Sites.
Os atacantes empacotam o Stealka como cheats e mods para jogos de sucesso como Roblox e Grand Theft Auto V, bem como versões pirateadas de ferramentas legítimas, incluindo Microsoft Visio. Além disso, eles criam sites falsos com aparência profissional para hospedar downloads, o que torna difícil distinguir esses arquivos maliciosos de conteúdo genuíno sem soluções de segurança fortes.
No entanto, a campanha não se limita a sites obscuros. A Kaspersky relata que cibercriminosos também aproveitam contas comprometidas em portais legítimos de mods de jogos para distribuir arquivos infectados, de modo que até mesmo usuários regulares de comunidades bem conhecidas podem, sem saber, baixar o malware.
Como o Stealka opera em navegadores e extensões
O Stealka foca em navegadores baseados nos motores Chromium e Gecko, colocando mais de 100 navegadores diferentes em risco. Isso inclui aplicativos amplamente utilizados, como Chrome, Firefox, Opera, Edge, Brave e Yandex Browser. O infostealer extrai dados de preenchimento automático, como credenciais de login, endereços e detalhes de cartões de pagamento. Segundo a Kaspersky, seu comportamento se assemelha de perto ao malware ModStealer identificado em setembro.
O malware Stealka mergulha mais fundo nas configurações do navegador e bancos de dados locais em busca de extensões instaladas. Ele investiga sistematicamente extensões ligadas a carteiras de cripto, gerenciadores de senhas e serviços de autenticação de dois fatores, transformando sessões de navegação comuns em um alvo de alto valor para atacantes motivados financeiramente.
Entre as 80 carteiras de criptomoeda no radar do Stealka estão marcas importantes como Binance, Coinbase, MetaMask, Crypto.com, SafePal, Trust Wallet, Phantom, Ton, Nexus e Exodus. Além disso, o malware não para nas extensões de navegador e também pode escanear aplicativos de carteira autônomos instalados no sistema.
Alvo de chaves privadas, frases-semente e arquivos de carteira
Uma vez ativo, o Stealka busca dados particularmente sensíveis, incluindo chaves privadas criptografadas, fragmentos de frases-semente, caminhos de arquivos de carteira e parâmetros de criptografia associados. Essas informações podem potencialmente permitir que os atacantes reconstruam o acesso a ativos digitais e esvaziem contas de criptomoeda sem interação direta das vítimas.
Além disso, o malware examina arquivos de configuração de aplicativos de carteira de desktop. Esses arquivos podem conter informações cruciais de segurança, como referências a esquemas de criptografia ou locais de armazenamento para material chave. Dito isso, a exploração bem-sucedida ainda requer que os atacantes analisem e usem corretamente os dados roubados, o que adiciona uma barreira técnica, mas não elimina a ameaça.
Além das carteiras de cripto: comprometimento de contas mais amplo
A funcionalidade do Stealka se estende muito além de alvos relacionados a cripto. O infostealer pode comprometer aplicativos de mensagens como Discord e Telegram, clientes de e-mail, plataformas de jogos, ferramentas de gerenciamento de senhas e serviços de VPN. Como resultado, os cibercriminosos podem sequestrar várias contas e coletar informações para futuras intrusões ou campanhas de engenharia social.
O pesquisador da Kaspersky, Artem Ushkov, relata que a maioria das vítimas confirmadas está localizada na Rússia. No entanto, detecções também foram registradas na Turquia, Brasil, Alemanha e Índia, mostrando que a cadeia de infecção já está se espalhando globalmente.
Os atacantes costumam confiar em credenciais previamente roubadas para alimentar novas ondas de comprometimento. Por exemplo, eles podem assumir contas em sites de mods de jogos confiáveis, enviar novos arquivos maliciosos e, assim, transformar uma distribuição normal de mods em um vetor de malware de jogo stealth que amplifica ainda mais seu alcance.
Risco financeiro e impacto atual
O potencial de dano financeiro do Stealka é substancial, dada sua capacidade de exfiltrar dados de carteira e informações de pagamento. No entanto, a Kaspersky afirma que todas as tentativas de infecção conhecidas observadas por seus sistemas foram bloqueadas por seus produtos de segurança, sem grandes roubos de criptomoeda confirmados diretamente atribuídos a esta campanha até agora.
Dito isso, a falta de evidências públicas não significa que a ameaça seja insignificante. Infecções não detectadas podem ainda existir em sistemas sem proteção adequada, especialmente onde os usuários baixam ferramentas pirateadas ou mods suspeitos de fontes não oficiais.
Estratégias de proteção para usuários de cripto e gamers
Para mitigar riscos, a Kaspersky recomenda que os usuários evitem fontes de malware de software pirateado e cheats de jogos não verificados. Baixar mods, software pirateado e ferramentas de fóruns aleatórios ou plataformas de compartilhamento de arquivos continua sendo um dos principais vetores de infecção para o Stealka e famílias semelhantes.
Além disso, implantar soluções antivírus respeitáveis com varredura em tempo real é essencial. Suítes de segurança capazes de detectar infostealers podem bloquear executáveis maliciosos antes que eles acessem bancos de dados do navegador ou pastas de carteira, limitando significativamente a janela de exposição para dados sensíveis.
Os usuários também devem reconsiderar como armazenam informações pessoais em navegadores. A Kaspersky recomenda minimizar o armazenamento de senhas e detalhes de cartões de pagamento em preenchimento automático. Em vez disso, os indivíduos devem confiar em aplicativos dedicados de gerenciamento de senhas, que geralmente oferecem proteções mais fortes contra um comprometimento amplo de gerenciadores de senhas.
Fortalecimento da autenticação e higiene do navegador
Ativar proteção forte de múltiplos passos em todos os serviços importantes é outra camada de defesa chave. Os operadores do Stealka visam especificamente contornar fluxos de login simples, portanto, adicionar autenticação de dois fatores e manter códigos de recuperação em locais offline seguros pode reduzir drasticamente as tomadas de conta bem-sucedidas.
Além disso, os usuários devem tratar os prompts de instalação para novos complementos de navegador com ceticismo. Revisar permissões e limitar as instalações a lojas de extensões oficiais ajuda a reduzir o risco de sequestro de extensões de navegador. A Kaspersky também enfatiza a importância de baixar software apenas de sites de fornecedores verificados ou plataformas bem conhecidas com controles de segurança ativos.
Em resumo, o Stealka ilustra como táticas de distribuição de malware do github, sites de mods falsos e ferramentas pirateadas se cruzam para ameaçar tanto gamers quanto investidores em cripto. Ao combinar hábitos cautelosos de download, software de segurança robusto e manuseio mais rigoroso de dados sensíveis, os usuários podem diminuir significativamente sua exposição a essa ameaça evolutiva de infostealer.
