هشدار کسپرسکای: گسترش بدافزار «استیلکا» از طریق مودهای بازی

شرکت امنیت سایبری کسپرسکای (Kaspersky) از شناسایی بدافزار جدیدی خبر داده که با ظاهر فریبنده مودهای بازی و نرم‌افزارهای کرک‌شده، کاربران را هدف قرار می‌دهد و به‌طور خاص برای سرقت دارایی‌های رمزارزی، رمزهای عبور و داده‌های مرورگر طراحی شده است.

به گزارش میهن بلاکچین، این بدافزار که استیلکا (Stealka) نام دارد، نمونه‌ای تازه از موج بدافزارهایی است که از علاقه کاربران به بازی‌ها و ابزارهای غیررسمی سوءاستفاده می‌کنند.

انتشار از بسترهای به‌ظاهر معتبر

کسپرسکای در گزارشی که روز پنج‌شنبه منتشر شد اعلام کرد این بدافزار که نخستین‌بار در ماه نوامبر شناسایی شده است، اطلاعات کاربران سیستم‌عامل ویندوز را هدف می‌گیرد.

مهاجمان با استفاده از استیلکا توانسته‌اند حساب‌های کاربری را تصاحب کنند، رمزارزها را به سرقت ببرند و حتی ماینرهای مخفی استخراج ارز دیجیتال را روی رایانه قربانیان نصب کنند؛ آن هم در حالی که فایل آلوده در قالب کرک، چیت یا مود بازی به کاربر ارائه می‌شود.

آنچه این تهدید را خطرناک‌تر می‌کند، شیوه توزیع آن است. کسپرسکای می‌گوید استیلکا از طریق پلتفرم‌هایی منتشر شده است که در نگاه اول کاملاً قانونی و قابل‌اعتماد به نظر می‌رسند که از جمله می‌توان به گیت‌هاب (GitHub)، سورس‌فورج (SourceForge) و گوگل سایتس (Google Sites) اشاره کرد. این بدافزار اغلب در قالب مودهای بازی، به‌ویژه برای روبلاکس (Roblox)، یا کرک نرم‌افزارهایی مانند مایکروسافت ویزیو (Microsoft Visio) عرضه شده است.

آرتم اوشکوف (Artem Ushkov)، پژوهشگر کسپرسکای، توضیح می‌دهد که در برخی موارد مهاجمان حتی با کمک ابزارهای هوش مصنوعی، وب‌سایت‌های جعلی کاملاً حرفه‌ای طراحی کرده‌اند؛ این سایت‌ها از نظر ظاهری تفاوت چندانی با منابع معتبر ندارند و تشخیص جعلی‌بودن آن‌ها برای کاربران عادی بسیار دشوار است.

هدف اصلی: مرورگرها، افزونه‌ها و کیف پول‌ها

به گفته اوشکوف، استیلکا مجموعه‌ای گسترده از قابلیت‌های مخرب دارد، اما تمرکز اصلی آن بر داده‌های مرورگرهایی است که بر پایه موتورهای کرومیوم (Chromium) و گکو (Gecko) ساخته شده‌اند. این موضوع بیش از ۱۰۰ مرورگر مختلف را در معرض خطر قرار می‌دهد؛ از مرورگرهای پرکاربردی مانند کروم، فایرفاکس (Firefox)، اپرا (Opera)، اج (Eddge)، بریو (Brave) و یاندکس (Yandex) گرفته تا گزینه‌هایی که کمتر شناخته‌شده هستند.

این بدافزار ابتدا داده‌های ذخیره‌شده خودکار مرورگرها (مانند نام کاربری و رمز عبور، آدرس‌ها و جزئیات کارت‌های پرداخت) را هدف می‌گیرد. اما دامنه فعالیت آن به همین‌جا محدود نمی‌شود. استیلکا تنظیمات و پایگاه‌های داده ۱۱۵ افزونه مرورگر را نیز بررسی می‌کند که شامل کیف پول‌های رمزارزی، مدیران رمز عبور و سرویس‌های احراز هویت دوعاملی هستند.

در میان کیف پول‌های هدف‌گرفته‌شده، نام‌های شناخته‌شده‌ای مانند بایننس (Binance)، کوین‌بیس (Coinbase)، کریپتو دات‌کام (Crypto.com)، سیف‌پل (SafePal)، تراست ولت (Trust Wallet)، متامسک (MetaMask)، تون (Ton)، فانتوم (Phantom)، نکسوس (Nexus) و اکسودوس (Exodus) به چشم می‌خورد.

کسپرسکای همچنین هشدار داده که پیام‌رسان‌هایی مانند دیسکورد (Discord)، تلگرام (Telegram)، یونیگرام (Unigram)، پیجین (Pidgin) و توکس (Tox) نیز در معرض خطر هستند، همان‌طور که کلاینت‌های ایمیل، نرم‌افزارهای مدیریت رمز عبور، لانچرهای بازی و حتی برنامه‌های VPN می‌توانند هدف قرار بگیرند.

چگونه در برابر این تهدید محافظت شویم؟

کسپرسکای برای کاهش ریسک آلودگی، استفاده از آنتی‌ویروس‌های معتبر و مدیران رمز عبور مستقل را توصیه می‌کند و هشدار می‌دهد ذخیره رمزهای عبور در مرورگرها می‌تواند کاربران را آسیب‌پذیرتر کند.

مهم‌تر از همه، این شرکت بار دیگر تأکید می‌کند که استفاده از نرم‌افزارهای کرک‌شده و مودهای غیررسمی بازی یکی از اصلی‌ترین مسیرهای ورود چنین بدافزارهایی است.

این هشدارها در شرایطی منتشر می‌شود که کلادفلر (Cloudflare) اخیراً گزارش داده بیش از ۵٪ ایمیل‌های ارسال‌شده در سراسر جهان حاوی محتوای مخرب هستند؛ بیش از نیمی از آن‌ها لینک‌های فیشینگ دارند و حدود یک‌چهارم فایل‌های HTML پیوست‌شده نیز ماهیت مخرب دارند.

مجموع این داده‌ها نشان می‌دهد تهدیدهای سایبری، به‌ویژه برای کاربران حوزه کریپتو، نه‌تنها کاهش نیافته بلکه هر روز پیچیده‌تر و حرفه‌ای‌تر می‌شود.