Касперский предупреждает: зашифрованный троян Stealka проникает в основные игровые моды, это затрагивает игроков GTA5 и Roblox

Атака Stealka с целью кражи средств нацелена на игровые сообщества, кошельки браузеров и криптографические библиотеки, выявляя бреши в информационной безопасности в эпоху Web3
(Предыдущее резюме: Отчет Chainaанализа: северокорейские хакеры украли криптоактивы на сумму 2 миллиарда долларов США в 2025 году, причем крупнейшей жертвой стал Bybit)
(Справочное дополнение: Охранная компания: северокорейские хакеры проникли в 15–20% криптовалют компании)

Содержание статьи

В преддверии рождественских праздников должно было быть приятное время для скачивания игр со специальными предложениями и модулями обновлений, но его омрачила программа для кражи информации под названием Stealka. Согласно обнаружению Касперского в ноябре, злоумышленники упаковали вредоносные программы в модули и читерские инструменты для популярных игр Roblox и GTA V и загрузили их на основные платформы, такие как GitHub, SourceForge и Google Sites. В тот момент, когда жертва нажимает кнопку загрузки, это эквивалентно передаче ключа от домашнего сейфа.

Доверие к платформе стало самой большой уязвимостью

Самое трудное, что можно предотвратить в этой волне действий, — это использование «правового прикрытия» для ослабления бдительности. Stealka распространяется через распространенные веб-сайты с открытым исходным кодом, и ее можно получить, не углубляясь в темную сеть. Исследователь «Лаборатории Касперского» Артем Ушков заявил:

"Злоумышленники, скорее всего, использовали инструменты искусственного интеллекта для создания поддельных веб-сайтов с чрезвычайно профессиональным внешним видом. Эти веб-сайты выглядят достаточно безупречно, чтобы развеять последние оставшиеся сомнения у самых настороженных пользователей".

Для геймеров-подростков или пользователей, жаждущих найти взломанные версии офисного ПО, переход по ссылке является почти рефлекторным действием. Благодаря этому злоумышленникам удалось за короткий промежуток времени проникнуть на десятки тысяч домашних компьютеров.

База данных браузера: хранилище, запертое хакерами

В отличие от традиционных деструктивных вирусов, Stealka обеспечивает «тихий и полный» сбор данных. Согласно исследованию «Лаборатории Касперского», он поддерживает сбор форм автозаполнения, паролей и файлов cookie для более чем 100 браузеров на базе Chromium и Gecko. Что еще больше усложняет ситуацию, Stealka может считывать данные из 115 расширений браузера, включая MetaMask, Binance, кошельки Coinbase и менеджеры паролей, такие как 1Password. В то же время он будет сканировать более 80 программ-кошельков для шифрования настольных компьютеров, таких как Exodus и MyCrypto, чтобы напрямую украсть закрытые ключи и мнемонические фразы. Как только хакеры получат эти учетные данные, активы пользователя могут быть опустошены в течение нескольких минут.

Глобальное распространение опережает оборонное развертывание

Stealka — это не единичный случай, а микрокосм эскалации угроз кражи информации в 2025 году. Статистика показывает, что с января по октябрь этого года вредоносное ПО, нацеленное на игровые модули, было обнаружено в общей сложности 384 000 раз. Хотя самые ранние пораженные районы были сосредоточены в России, недавно болезнь распространилась на Германию, Бразилию, Индию, Турцию и другие места. Скорость трансграничной передачи намного превышает частоту обновления большинства антивирусных решений, что создает дилемму «обнаружения отстающих инфекций».

Нулевое доверие становится последней линией личной защиты

Инцидент со Stealka подчеркивает изменение ответственности после интеграции Web3 и традиционных финансов: когда пользователи обладают суверенитетом над активами, они также должны нести риск защиты закрытых ключей. Эксперты предполагают, что помимо обновления антивирусного программного обеспечения и браузеров наиболее важным моментом является выработка привычки к загрузке с нулевым доверием: даже если файл получен с официально выглядящей платформы с открытым исходным кодом, дважды проверьте источник и значение хеш-функции файла. Для владельцев криптокошельков перемещение больших объемов активов на холодные кошельки и отказ от установки расширений кошельков в игровых браузерах являются прагматичными способами сокращения потерь.

Поскольку администрация Трампа с момента вступления в должность продвигает дружественную политику шифрования, рынок стал более популярным, привлекая к участию больше новичков, а также позволяя хакерам увидеть возможности. Stealka напоминает инвесторам, что настоящие риски часто скрываются в самых повседневных развлекательных сценах. В следующий раз, когда вы загрузите, казалось бы, безобидный «бесплатный мод», подумайте, стоит ли рисковать этим файлом всем своим кошельком.