Uusi infostealer-haittaohjelma Stealka
Hakkerit ovat lisänneet infostealer-haittaohjelmaa piraattimodeihin Robloxille ja muihin peleihin, kertoo kyberturvallisuusyritys Kaspersky. Kaspersky julkaisi blogikirjoituksen, jossa se paljastaa tunnistaneensa uudenlaisen infostealerin nimeltä Stealka. Tätä haittaohjelmaa on havaittu jakelualustoilla, kuten GitHub, SourceForge, Softpedia ja sites.google.com.
Stealkan toiminta
Stealka naamioituu epävirallisiksi modeiksi, huijauksiksi ja rikkinäisiksi versioiksi Windows-pohjaisista peleistä ja muista sovelluksista. Se eksfiltratoi arkaluontoista kirjautumis- ja selaininfoa, jota sen operaattorit voivat käyttää kryptovaluuttojen varastamiseen.
Haittaohjelma kohdistuu ensisijaisesti selaimissa, kuten Chrome, Firefox, Opera, Yandex Browser, Edge ja Brave, oleviin tietoihin sekä yli 100 selainlaajennuksen asetuksiin ja tietokantoihin. Tällaisia laajennuksia ovat kryptovaluuttalompakot, kuten Binance, Coinbase, MetaMask, Crypto.com ja Trust Wallet, sekä salasanojen hallintaohjelmat (1Password, NordPass, LastPass) ja 2FA-sovellukset (Google Authenticator, Authy, Bitwarden).
Laajemmat vaikutukset
Stealkan ulottuvuus ei rajoitu vain selainlaajennuksiin, sillä se voi myös nostaa (salattuja) yksityisiä avaimia, siemenlauseita ja lompakkotiedostopolkuja itsenäisistä kryptovaluuttalompakkosovelluksista. Tämä sisältää sovelluksia, kuten Binance, Exodus, MyCrypto ja MyMonero, sekä lompakkosovelluksia Bitcoinille, BitcoinABC:lle, Dogecoinille, Ethereumille, Monerolle, Novacoinille ja Solarille.
Kryptovaluuttojen ulkopuolella Stealka-haittaohjelmalla on kyky varastaa tietoja ja todennustunnuksia viestisovelluksista (esim. Discord ja Telegram), salasanojen hallintaohjelmista (esim. 1Password, Bitwarden, LastPass), sähköpostiohjelmista (esim. Gmail Notifier Pro, Mailbird, Outlook), muistiinpanosovelluksista (NoteFly, Notezilla, Microsoft StickyNotes) ja VPN-asiakkaista (esim. OpenVPN, ProtonVPN, WindscribeVPN).
Asiantuntijoiden varoitukset
Kaspersky kyberturvallisuusasiantuntija Artem Ushkov kertoi Decryptille, että uusi haittaohjelma ”tunnistettiin Kasperskyn päätepisteen suojausratkaisuilla Windows-koneilla marraskuussa 2025.”
Ushkov raportoi, että suurin osa Stealkan kohteena olevista käyttäjistä on Venäjällä. ”Kuitenkin haittaohjelman hyökkäyksiä on havaittu myös muissa maissa, mukaan lukien Türkiye, Brasilia, Saksa ja Intia,” hän lisäsi.
Suositukset käyttäjille
Stealkan uhkan vuoksi Kaspersky neuvoo blogissaan, että käyttäjien tulisi käyttää luotettavaa virustorjuntaohjelmistoa ja välttää epävirallisia ja piraattimodeja. Blogissa neuvotaan myös, ettei tärkeitä tietoja tulisi tallentaa selaimiin, ja käyttäjiä kehotetaan käyttämään kaksivaiheista todennusta aina kun se on mahdollista, sekä hyödyntämään varakoodit (mutta ilman, että niitä tallennetaan selaimiin tai tekstidokumentteihin).
Vaikka Stealkan potentiaali tietojen ja siten kryptovaluuttojen varastamiseen vaikuttaa pelottavalta, tällä hetkellä ei ole viitteitä siitä, että se olisi johtanut merkittäviin tappioihin.
”Emme tiedä, kuinka paljon kryptovaluuttaa on varastettu sen avulla,” sanoi Ushkov. ”Ratkaisumme suojaavat tätä uhkaa vastaan: kaikki havaittu Stealka-haittaohjelma estettiin ratkaisujemme avulla.
