Nuevo malware Stealka ataca billeteras de criptomonedas a través de mods de juegos falsos

Introducción al Malware Stealka

Identificado por primera vez en noviembre, el malware Stealka ha sido distribuido a través de plataformas como GitHub, SourceForge y Google Sites, así como en sitios web falsos diseñados profesionalmente. Una vez instalado, Stealka puede recolectar datos de autocompletado del navegador, acceder a la configuración y bases de datos de más de 100 navegadores, y extraer información de 115 extensiones de navegador, incluidas las utilizadas para billeteras de criptomonedas, administradores de contraseñas y servicios de autenticación de dos factores.

Detalles del Esquema de Phishing

Por separado, fiscales de EE. UU. acusaron a un residente de Brooklyn de 23 años, Ronald Spektor, con 31 cargos criminales relacionados con un esquema de phishing que robó aproximadamente $16 millones en criptomonedas de alrededor de 100 usuarios de Coinbase entre abril de 2023 y diciembre de 2024.

Características del Malware Stealka

La firma de ciberseguridad Kaspersky descubrió una nueva cepa de malware que representa una amenaza para los usuarios de criptomonedas, jugadores y usuarios cotidianos de Windows. El malware, denominado «Stealka», se clasifica como un infostealer, lo que significa que su propósito principal es recolectar silenciosamente datos sensibles de sistemas infectados.

Según Kaspersky, Stealka está siendo distribuido activamente por atacantes que lo disfrazan como trampas, cracks y mods de videojuegos, particularmente aquellos vinculados a títulos populares como Roblox, así como software pirateado para aplicaciones legítimas como Microsoft Visio. Lo que hace que la campaña sea especialmente preocupante es la forma en que el malware se aloja y se comparte. En lugar de depender únicamente de sitios web oscuros o claramente maliciosos, los atacantes han subido Stealka a plataformas bien conocidas, dando a los archivos una apariencia de legitimidad que puede engañar fácilmente a los usuarios desprevenidos.

En algunos casos, los operadores detrás de Stealka han ido aún más lejos al crear sitios web falsos completos que parecen profesionales y confiables. El investigador de Kaspersky, Artem Ushkov, comentó que estos sitios pueden incluso ser generados o mejorados utilizando herramientas de inteligencia artificial, lo que dificulta que los usuarios los distingan de las páginas de distribución de software reales.

Impacto y Consecuencias del Malware

Una vez instalado, Stealka puede secuestrar cuentas en línea, robar criptomonedas y desplegar mineros de criptomonedas en las máquinas de las víctimas sin su conocimiento. Las capacidades más peligrosas del malware están relacionadas con su enfoque en navegadores web construidos sobre motores Chromium y Gecko, lo que pone en riesgo a más de 100 navegadores, incluidas opciones ampliamente utilizadas como Chrome, Firefox, Edge, Opera, Brave y otros.

Stealka apunta a los datos de autocompletado del navegador, lo que le permite capturar credenciales de inicio de sesión, direcciones e información de tarjetas de pago. Además, busca específicamente datos vinculados a extensiones de navegador, incluidas aquellas utilizadas para billeteras de criptomonedas, administradores de contraseñas y servicios de autenticación de dos factores. Kaspersky estima que Stealka puede extraer información de la configuración y bases de datos de 115 extensiones de navegador. Entre las aproximadamente 80 billeteras de criptomonedas objetivo se encuentran plataformas importantes como Binance, Coinbase, Crypto.com, MetaMask, Trust Wallet, Phantom y Exodus.

Para reducir el riesgo de infección, Kaspersky aconseja a los usuarios evitar software pirateado y mods de juegos no oficiales, utilizar soluciones antivirus de buena reputación y confiar en administradores de contraseñas dedicados en lugar de almacenar datos sensibles directamente en los navegadores.

El Caso de Ronald Spektor

El malware no es la única amenaza que apunta a los usuarios de criptomonedas. Un hombre de 23 años de Brooklyn fue acusado de docenas de cargos criminales por supuestamente orquestar una operación de phishing a gran escala que robó aproximadamente $16 millones en criptomonedas de usuarios de Coinbase en todo Estados Unidos. La Oficina del Fiscal del Distrito de Brooklyn anunció el viernes que Ronald Spektor, residente de Sheepshead Bay, enfrenta 31 cargos, incluidos robo mayor en primer grado, lavado de dinero y delitos financieros relacionados derivados de un esquema que supuestamente duró más de un año.

Los fiscales dicen que Spektor apuntó a aproximadamente 100 víctimas entre abril de 2023 y diciembre de 2024 haciéndose pasar por un representante de atención al cliente de Coinbase. Según la acusación, contactó a los usuarios y les advirtió que sus cuentas estaban bajo una amenaza inminente de hackers. Al explotar el miedo y la urgencia, Spektor supuestamente convenció a las víctimas de transferir sus tenencias de criptomonedas a nuevas billeteras que él controlaba en secreto, drenando efectivamente sus cuentas.

Una vez que los fondos fueron robados, las autoridades alegan que Spektor intentó oscurecer su origen lavando las ganancias a través de mezcladores de criptomonedas, servicios de intercambio de tokens y plataformas de juego en línea. Los investigadores dicen que el esquema resultó en pérdidas devastadoras para algunas víctimas, incluida una residente de California que perdió más de $1 millón y una víctima de Virginia cuyas pérdidas superaron los $900,000.

Spektor supuestamente operó en línea bajo el alias «Ronaldd» y utilizó el handle «» en varias plataformas. Los fiscales dicen que también dirigió un canal de Telegram llamado «Blockchain enemies», donde se jactaba abiertamente de sus crímenes e incluso admitió haber perdido hasta $6 millones a través del juego. Esas publicaciones se convirtieron más tarde en parte de la evidencia utilizada en su contra.