Công ty an ninh mạng Kaspersky đã phát hiện một phần mềm độc hại đánh cắp thông tin mới và tinh vi, nhắm trực tiếp vào người dùng tiền điện tử. Được đặt tên là “Stealka”, phần mềm độc hại này được cho là xuất hiện lần đầu vào tháng 11 năm 2025 và lây lan qua các bản mod game giả mạo và phần mềm lậu.
Việc Stealka được phân phối thông qua các nền tảng tưởng chừng đáng tin cậy như GitHub, SourceForge và Google Sites khiến mối đe dọa này khó bị phát hiện.
Theo phân tích của Kaspersky, Stealka xâm nhập hệ thống của người dùng bằng cách ngụy trang dưới dạng các phần mềm gian lận và mod cho các trò chơi phổ biến (như Roblox và Grand Theft Auto V) hoặc các phiên bản lậu của phần mềm như Microsoft Visio. Kẻ tấn công tạo ra các trang web giả mạo trông chuyên nghiệp để trình bày phần mềm độc hại như nội dung hợp pháp, từ đó thuyết phục người dùng tải xuống.
Mục tiêu chính của Stealka là các trình duyệt dựa trên Chromium và Gecko. Điều này bao gồm hơn 100 trình duyệt có nguy cơ bị tấn công, bao gồm Chrome, Firefox, Opera, Edge, Brave và Yandex Browser. Phần mềm độc hại này có thể đánh cắp dữ liệu tự động điền như thông tin đăng nhập đã lưu, địa chỉ và thông tin thẻ thanh toán. Nó cũng cố gắng truy cập vào ví tiền điện tử, trình quản lý mật khẩu và dịch vụ xác thực hai yếu tố bằng cách nhắm mục tiêu vào cài đặt và cơ sở dữ liệu của các tiện ích mở rộng trình duyệt.
Theo báo cáo, Stealka nhắm mục tiêu trực tiếp vào hơn 80 ví tiền điện tử, bao gồm MetaMask, Binance, Coinbase, Trust Wallet, Phantom, Crypto.com, SafePal, Exodus và nhiều ví khác. Phần mềm độc hại này tìm kiếm các thông tin cực kỳ nhạy cảm như khóa riêng được mã hóa, đường dẫn tệp ví chứa Seed Phrase và các tham số mã hóa. Việc thu thập được dữ liệu này tiềm ẩn rủi ro, cho phép kẻ tấn công truy cập trái phép vào tài sản tiền điện tử và các ví trống. Stealka cũng nhắm mục tiêu vào các tệp cấu hình của các ứng dụng ví tiền điện tử độc lập.
Không chỉ giới hạn trong hệ sinh thái tiền điện tử, Stealka còn nhắm mục tiêu vào các ứng dụng nhắn tin như Discord và Telegram, các ứng dụng email, nền tảng trò chơi, trình quản lý mật khẩu và dịch vụ VPN. Bề mặt tấn công rộng lớn này giúp tội phạm mạng dễ dàng xâm nhập tài khoản và thu thập thông tin tình báo để thực hiện các cuộc tấn công tiếp theo.
Nhà nghiên cứu Artem Ushkov của Kaspersky cho biết phần lớn người dùng bị ảnh hưởng bởi Stealka đều ở Nga, nhưng các trường hợp nhiễm bệnh cũng đã được phát hiện ở Thổ Nhĩ Kỳ, Brazil, Đức và Ấn Độ. Ông cũng lưu ý rằng những kẻ tấn công tiếp tục phát tán phần mềm độc hại bằng cách sử dụng các tài khoản bị xâm nhập trên các trang web chỉnh sửa game hợp pháp, do đó tạo ra một phản ứng chuỗi lây nhiễm.
Kaspersky cho biết, mặc dù Stealka có khả năng gây ra thiệt hại tài chính đáng kể, nhưng cho đến nay, chưa có trường hợp nào được xác nhận là hành vi trộm cắp tiền điện tử quy mô lớn.
Các chuyên gia khuyên người dùng nên tránh phần mềm lậu và các bản mod game chưa được kiểm chứng, chỉ nên tải xuống từ các nguồn chính thức và đáng tin cậy.
*Đây không phải là lời khuyên đầu tư.
