Công ty an ninh mạng Kaspersky đã phát hiện một loại mã độc đánh cắp thông tin mới có tên là Stealka, được phát tán thông qua các bản mod game không chính thức và lậu, bao gồm cả cho Roblox. Mã độc này có khả năng truy cập dữ liệu nhạy cảm từ các trình duyệt, ứng dụng và ví tiền mã hóa (crypto wallet) dựa trên Windows, gây lo ngại cho những game thủ tải mod từ các nguồn không chính thức.
Stealka đã được phát hiện trên các nền tảng như GitHub, SourceForge, Softpedia và sites.google.com, thường được ngụy trang dưới dạng cheat, crack hoặc các bản sửa đổi game khác. Sau khi được cài đặt, mã độc có thể trích xuất thông tin đăng nhập (login credentials), dữ liệu trình duyệt và thông tin từ hơn 100 tiện ích mở rộng của trình duyệt. Các tiện ích mở rộng này bao gồm các ví tiền mã hóa (crypto wallet) phổ biến như MetaMask, Binance, Coinbase, Crypto.com và Trust Wallet, cũng như các trình quản lý mật khẩu và ứng dụng xác thực hai yếu tố (two-factor authentication) như 1Password, NordPass, LastPass, Google Authenticator, Authy và Bitwarden.
Tác động đến bảo mật tiền mã hóa (cryptocurrency) và ví (wallet)
Ngoài các trình duyệt và tiện ích mở rộng, Stealka có thể truy cập các khóa riêng tư (private keys) được mã hóa, cụm từ khôi phục (seed phrases) và đường dẫn tệp ví (wallet file paths) từ các ứng dụng ví tiền mã hóa (cryptocurrency wallet) độc lập. Các ví bị ảnh hưởng bao gồm của Binance, Exodus, MyCrypto, MyMonero và các ví cho Bitcoin, Dogecoin, Ethereum, Monero, Novacoin và Solar. Điều này cho phép kẻ tấn công có khả năng giành quyền kiểm soát tài sản kỹ thuật số (digital assets) được lưu trữ trong các ví này.
Kaspersky lưu ý rằng mã độc không chỉ nhắm mục tiêu vào tài sản tiền mã hóa (crypto assets). Nó còn có khả năng đánh cắp mã thông báo xác thực (authentication tokens) và thông tin đăng nhập (credentials) cho các nền tảng nhắn tin như Discord và Telegram, các ứng dụng email bao gồm Outlook và Mailbird, các ứng dụng ghi chú như NoteFly và Notezilla và các máy khách VPN như OpenVPN, ProtonVPN và WindscribeVPN.
Phạm vi địa lý và phát hiện
Theo chuyên gia an ninh mạng của Kaspersky, Artem Ushkov, Stealka lần đầu tiên được phát hiện vào tháng 11 năm 2025 trên các thiết bị Windows. Hầu hết người dùng bị ảnh hưởng được cho là ở Nga, mặc dù các trường hợp lây nhiễm cũng đã được quan sát thấy ở Thổ Nhĩ Kỳ, Brazil, Đức và Ấn Độ. Mặc dù khả năng truy cập ví tiền mã hóa (crypto wallets) của mã độc là đáng lo ngại, Kaspersky tuyên bố rằng không có bằng chứng xác nhận về hành vi trộm cắp đáng kể, vì tất cả các trường hợp Stealka được phát hiện đều bị các giải pháp bảo mật của họ chặn.
Cách game thủ có thể tự bảo vệ
Kaspersky khuyên người chơi nên tránh tải các bản mod không chính thức hoặc lậu và nên sử dụng phần mềm diệt virus uy tín. Người dùng nên tránh lưu trữ thông tin đăng nhập (credentials) quan trọng trong trình duyệt và sử dụng xác thực hai yếu tố (two-factor authentication) khi có thể, sử dụng mã dự phòng một cách an toàn mà không lưu chúng trong trình duyệt hoặc tệp văn bản. Các bước này có thể giúp giảm nguy cơ trở thành nạn nhân của mã độc đánh cắp thông tin (infostealer malware) như Stealka.
Các câu hỏi thường gặp (FAQs)
Mã độc Stealka là gì?
Stealka là một mã độc đánh cắp thông tin (infostealer malware) nhắm mục tiêu vào các thiết bị Windows, chủ yếu được phân phối thông qua các bản mod game lậu hoặc không chính thức. Nó có thể truy cập thông tin đăng nhập (login credentials), dữ liệu trình duyệt và ví tiền mã hóa (cryptocurrency wallets).
Những game nào bị ảnh hưởng bởi Stealka?
Cho đến nay, Stealka đã được tìm thấy trong các bản mod không chính thức cho Roblox và các game dựa trên Windows khác. Người dùng nên cẩn thận khi tải mod từ các nguồn không xác minh.
Stealka có thể đánh cắp tiền mã hóa (cryptocurrency) không?
Có. Mã độc có thể truy cập các tiện ích mở rộng của trình duyệt và ví độc lập để truy xuất các khóa riêng tư (private keys), cụm từ khôi phục (seed phrases) và đường dẫn tệp ví (wallet file paths), có khả năng khiến tài sản tiền mã hóa (crypto assets) gặp rủi ro.
Stealka phổ biến đến mức nào?
Hầu hết các trường hợp lây nhiễm đã được báo cáo ở Nga, với các trường hợp bổ sung được phát hiện ở Thổ Nhĩ Kỳ, Brazil, Đức và Ấn Độ.
Làm thế nào người chơi có thể tự bảo vệ?
Tránh các bản mod lậu, sử dụng phần mềm diệt virus đáng tin cậy, bật xác thực hai yếu tố (two-factor authentication) và không lưu trữ thông tin nhạy cảm trong trình duyệt hoặc các tệp không bảo mật.
