Innledning
Først identifisert i november, har malware blitt distribuert gjennom plattformer som GitHub, SourceForge og Google Sites, samt gjennom profesjonelt designede falske nettsteder. Når den er installert, kan Stealka høste autofyll-data fra nettleseren, få tilgang til innstillinger og databaser fra mer enn 100 nettlesere, og trekke ut informasjon fra 115 nettleserutvidelser, inkludert de som brukes for kryptovaluta-lommebøker, passordadministratorer og to-faktor autentiseringstjenester.
Phishing-operasjon og malware-trussel
Separat har amerikanske påtalemyndigheter siktet en 23 år gammel innbygger fra Brooklyn, Ronald Spektor, med 31 strafferettslige anklager relatert til en phishing-ordning som stjal omtrent 16 millioner dollar i kryptovaluta fra rundt 100 Coinbase-brukere mellom april 2023 og desember 2024. Cybersikkerhetsfirmaet Kaspersky har avdekket en ny type malware som utgjør en trussel mot kryptovaluta-brukere, spillere og vanlige Windows-brukere. Malware, kalt «Stealka,» ble først identifisert i november og er klassifisert som en infostealer, noe som betyr at dens primære formål er å høste sensitiv data fra infiserte systemer.
Distribusjon og metoder
Ifølge Kaspersky blir Stealka aktivt distribuert av angripere som forkler det som videospilljuks, cracks og mods, spesielt de som er knyttet til populære titler som Roblox, samt piratkopiert programvare for legitime applikasjoner som Microsoft Visio. Det som gjør kampanjen spesielt bekymringsfull, er måten malware er vert og delt på. I stedet for å stole utelukkende på obskure eller åpenbart ondsinnede nettsteder, har angriperne lastet opp Stealka til kjente plattformer som GitHub, SourceForge og Google Sites, noe som gir filene et preg av legitimitet som lett kan villede intetanende brukere.
Kaspersky-forsker Artem Ushkov har uttalt at disse nettstedene til og med kan være generert eller forbedret ved hjelp av kunstig intelligens-verktøy, noe som gjør dem vanskeligere for brukere å skille fra ekte programvaredistribusjonssider.
Trusselen fra Stealka
Når den er installert, kan Stealka kapre nettbaserte kontoer, stjele kryptovaluta og distribuere kryptovaluta-minere på ofrenes maskiner uten deres viten. Malware sin mest farlige kapasitet er knyttet til dens fokus på nettlesere bygget på Chromium og Gecko-motorer. Dette setter mer enn 100 nettlesere i fare, inkludert mye brukte alternativer som Chrome, Firefox, Edge, Opera, Brave og andre. Stealka retter seg mot autofyll-data i nettleseren, noe som gjør at den kan fange opp påloggingsinformasjon, adresser og betalingskortinformasjon.
I tillegg jakter den spesifikt på data knyttet til nettleserutvidelser, inkludert de som brukes for kryptovaluta-lommebøker, passordadministratorer og to-faktor autentiseringstjenester. Kaspersky anslår at Stealka kan trekke ut informasjon fra innstillingene og databasene til 115 nettleserutvidelser. Blant de omtrent 80 kryptovaluta-lommebøkene som er målrettet, er store plattformer som Binance, Coinbase, Crypto.com, MetaMask, Trust Wallet, Phantom og Exodus. Meldingsapplikasjoner inkludert Discord og Telegram, samt e-postklienter, VPN-er, passordadministratorer og spillklienter, er også innen Stealkas rekkevidde.
Forebygging og anbefalinger
For å redusere risikoen for infeksjon, anbefaler Kaspersky brukere å unngå piratkopiert programvare og uoffisielle spillmodifikasjoner, bruke anerkjente antivirusløsninger, og stole på dedikerte passordadministratorer i stedet for å lagre sensitiv data direkte i nettlesere.
Konsekvenser av phishing-operasjonen
Malware er ikke den eneste trusselen som retter seg mot kryptovaluta-brukere. En 23 år gammel mann fra Brooklyn ble tiltalt for dusinvis av strafferettslige anklager for angivelig å ha orkestrert en storstilt phishing-operasjon som stjal omtrent 16 millioner dollar i kryptovaluta fra Coinbase-brukere over hele USA. Brooklyn District Attorney’s Office kunngjorde fredag at Ronald Spektor, en innbygger fra Sheepshead Bay, står overfor 31 anklager inkludert førstegrads tyveri, hvitvasking av penger, og relaterte finansielle forbrytelser som stammer fra en ordning som angivelig pågikk i mer enn et år.
Påtalemyndigheten sier at Spektor målrettet omtrent 100 ofre mellom april 2023 og desember 2024 ved å utgi seg for en kundeservicerepresentant for Coinbase. Ifølge tiltalen kontaktet han brukere og advarte dem om at kontoene deres var under umiddelbar trussel fra hackere. Ved å utnytte frykt og hastverk, overbeviste Spektor angivelig ofrene om å overføre sine kryptovaluta-beholdninger til nye lommebøker som han hemmelig kontrollerte, og effektivt tappet kontoene deres.
Når midlene var stjålet, hevder myndighetene at Spektor prøvde å skjule opprinnelsen deres ved å hvitvaske inntektene gjennom kryptomiksere, token-byttetjenester og nettspillplattformer. Etterforskere sier at ordningen resulterte i ødeleggende tap for noen ofre, inkludert en innbygger fra California som mistet mer enn 1 million dollar og et offer fra Virginia hvis tap oversteg 900 000 dollar.
Avslutning
Spektor angivelig opererte online under aliaset «Ronaldd» og brukte håndtaket «over» på plattformer. Påtalemyndigheten sier at han også drev en Telegram-kanal kalt «Blockchain enemies,» hvor han åpent skrøt av sine forbrytelser og til og med innrømmet å ha tapt så mye som 6 millioner dollar gjennom gambling. Disse innleggene ble senere en del av bevisene brukt mot ham. Så langt har myndighetene gjenvunnet omtrent 105 000 dollar i kontanter og omtrent 400 000 dollar i kryptovaluta. Etterforskere intervjuet mer enn 70 ofre under etterforskningen og identifiserte til slutt nærmere 100 individer som ble berørt av ordningen. Coinbase CEO Brian Armstrong anerkjente tiltalen i et innlegg på X, og advarte svindlere om at de som retter seg mot børsens kunder vil bli forfulgt og holdt ansvarlige. Blockchain-etterforsker ZachXBT spilte også en nøkkelrolle i saken etter å ha publisert en etterforskning i november 2024 da et offer som mistet 6 millioner dollar ba om hans hjelp.
