Специалисты «Лаборатории Касперского» выявили новый вредоносный софт, предназначенный для хищения информации, и присвоили ему имя Stealka. Этот похититель данных атакует компьютеры под управлением Windows. Программа тайно собирает значительные массивы приватных сведений с инфицированных устройств, включая учётные данные, информацию банковских карт и цифровых кошельков.
Согласно информации от «Лаборатории Касперского», наибольшее число жертв данного троянца зарегистрировано в России. Тем не менее, активность вредоноса также была отмечена и в других государствах, таких как Турция, Бразилия, Германия и Индия.
Способы проникновения. Злоумышленники маскируют стилер, например, под неофициальные модификации и читы для видеоигр, а также под ключи активации для различного ПО. Распространение происходит преимущественно через популярные площадки вроде GitHub или SourceForge, а также через специально созданные зловредные сайты, которые могут имитировать игровые порталы. Поддельные веб-страницы зачастую выглядят очень убедительно — возможно, для их создания применялись инструменты на основе искусственного интеллекта. Кроме того, чтобы обмануть бдительность пользователей, на одном из таких ресурсов перед загрузкой файла имитировалась его проверка якобы «антивирусным средством».
Угрозы. Stealka был разработан на базе другого стилера — Rabbit Stealer — и способен извлекать с заражённого компьютера конфиденциальные данные: логины и пароли, финансовую информацию, сведения о системе, такие как версия ОС, перечень установленных программ и активных процессов. Однако основная его цель — кража данных из браузеров. Stealka также обладает дополнительными возможностями, например, делает скриншоты экрана, а в отдельных случаях — дополнительно устанавливает на взломанный компьютер майнер.
«Помимо данных из браузеров, Stealka ворует конфиденциальную информацию из множества других источников — криптовалютных кошельков, мессенджеров, почтовых программ, приложений для заметок и игровых клиентов. При этом для распространения вредоноса злоумышленники могут использовать уже похищенные учётные записи жертв. В частности, мы обнаружили признаки того, что в одном из инцидентов атакующие разместили на тематическом сайте заражённый мод для игры GTA V — используя скомпрометированный аккаунт», — отметил Артём Ушков, эксперт по кибербезопасности «Лаборатории Касперского».
Продукты «Лаборатории Касперского» обеспечивают защиту от этой угрозы и определяют вредоносную программу как Trojan-PSW.Win64.Stealka.gen.
Чтобы снизить риски, «Лаборатория Касперского» советует пользователям: загружать только лицензионное ПО из официальных источников; активировать двухфакторную аутентификацию для усиления защиты аккаунтов; применять надёжное защитное решение от проверенного вендора, чья эффективность подтверждена независимыми испытаниями, такое как Kaspersky Premium.
