Einführung
Laut einer Untersuchung des Cybersicherheitsunternehmens Kaspersky fügen Hacker Infostealer-Malware in raubkopierte Mods für Roblox und andere Spiele ein. Ein Blogbeitrag von Kaspersky zeigt, dass eine neue Variante des Infostealers namens Stealka identifiziert wurde, die bisher auf Verteilungsplattformen wie GitHub, SourceForge, Softpedia und sites.google.com entdeckt wurde. Getarnt als inoffizielle Mods, Cheats und Cracks für Windows-basierte Spiele und andere Anwendungen exfiltriert Stealka sensible Anmelde- und Browserinformationen, die von den Betreibern genutzt werden können, um Kryptowährungen zu stehlen.
Ziel der Malware
Die Malware zielt hauptsächlich auf Daten ab, die von Browsern wie Chrome, Firefox, Opera, Yandex Browser, Edge und Brave gespeichert werden, sowie auf die Einstellungen und Datenbanken von über 100 Browsererweiterungen. Zu diesen Erweiterungen gehören Krypto-Wallets von Binance, Coinbase, MetaMask, Crypto.com und Trust Wallet sowie Passwortmanager wie 1Password, NordPass und LastPass sowie 2FA-Apps wie Google Authenticator, Authy und Bitwarden.
Darüber hinaus endet Stealkas Reichweite nicht bei Browsererweiterungen; sie kann auch (verschlüsselte) private Schlüssel, Seed-Phrasendaten und Wallet-Dateipfade von eigenständigen Krypto-Wallet-Apps abgreifen. Dazu gehören Apps von Binance, Exodus, MyCrypto und MyMonero sowie Wallet-Apps für Bitcoin, BitcoinABC, Dogecoin, Ethereum, Monero, Novacoin und Solar.
Zusätzliche Bedrohungen
Neben Krypto hat die Stealka-Malware auch die Fähigkeit, Daten und Authentifizierungstoken für Messaging-Apps (z. B. Discord und Telegram), Passwortmanager-Apps (z. B. 1Password, Bitwarden, LastPass), E-Mail-Clients (z. B. Gmail Notifier Pro, Mailbird, Outlook), Notiz-Apps (NoteFly, Notezilla, Microsoft StickyNotes) und VPN-Clients (z. B. OpenVPN, ProtonVPN, WindscribeVPN) zu stehlen.
Expertenmeinung
Im Gespräch mit Decrypt erklärte der Cybersicherheitsexperte von Kaspersky, Artem Ushkov, dass die neue Malware „von Kaspersky-Endpunktschutzlösungen auf Windows-Maschinen im November 2025 erkannt wurde.“ Wie bei ähnlicher Malware berichtet Ushkov, dass die meisten der von Stealka angegriffenen Nutzer in Russland ansässig sind. „Allerdings wurden Angriffe der Malware auch in anderen Ländern, darunter die Türkei, Brasilien, Deutschland und Indien, festgestellt,“ fügte er hinzu.
Empfehlungen zur Sicherheit
Angesichts der Bedrohung durch Stealka rät Kaspersky in seinem Blog, neben der Verwendung seriöser Antivirensoftware sollten Nutzer inoffizielle und raubkopierte Mods meiden. Der Blog empfiehlt außerdem, wichtige Informationen nicht in Browsern zu speichern und fordert die Nutzer auf, wo immer möglich eine Zwei-Faktor-Authentifizierung zu verwenden und Backup-Codes zu nutzen (aber ohne sie in Browsern oder Textdokumenten zu speichern).
Fazit
Obwohl Stealkas Potenzial, Informationen und damit Krypto zu stehlen, einschüchternd erscheint, gibt es derzeit keine Hinweise darauf, dass dies zu erheblichen Verlusten geführt hat.
„Wir sind uns der Menge an Krypto, die damit gestohlen wurde, nicht bewusst,“ sagte Ushkov. „Unsere Lösungen schützen vor dieser Bedrohung: Alle erkannten Stealka-Malware wurde von unseren Lösungen blockiert.“
