Hãng bảo mật danh tiếng Kaspersky vừa đưa ra lời cảnh báo nghiêm trọng về sự xuất hiện của một loại mã độc chuyên đánh cắp thông tin mang tên Stealka. Được phát hiện lần đầu vào tháng 11 năm 2025, loại phần mềm độc hại này đang trở thành mối đe dọa trực tiếp đối với cộng đồng người dùng tiền mã hóa nhờ khả năng ngụy trang tinh vi dưới danh nghĩa các bản chỉnh sửa trò chơi (game mods) và phần mềm bẻ khóa.
Phương thức lây lan tinh vi qua các nền tảng tin cậy
Mã độc Stealka không chọn những con đường lây nhiễm truyền thống dễ nhận biết. Thay vào đó, những kẻ tấn công đã khéo léo lồng ghép mã độc vào các bản mod, công cụ gian lận của những tựa game cực kỳ phổ biến như Roblox hay Grand Theft Auto V. Thậm chí, các phiên bản phần mềm lậu của những ứng dụng văn phòng chính thống như Microsoft Visio cũng bị lợi dụng làm "ngựa thành Troy" để xâm nhập vào hệ thống của nạn nhân.
Điều đáng lo ngại hơn cả là Stealka được phân phối thông qua các nền tảng có độ tin cậy cao như GitHub, SourceForge và Google Sites. Những kẻ đứng sau chiến dịch này còn đầu tư xây dựng các trang web giả mạo với giao diện chuyên nghiệp, khiến người dùng thông thường rất khó có thể phân biệt được đâu là nguồn phần mềm sạch và đâu là cạm bẫy mã độc nếu không có sự hỗ trợ từ các công cụ bảo mật chuyên dụng.
Cơ chế hoạt động và khả năng xâm nhập diện rộng
Dưới góc độ kỹ thuật, Stealka tập trung tấn công vào các trình duyệt web được xây dựng trên công cụ Chromium và Gecko. Điều này có nghĩa là hơn 100 loại trình duyệt phổ biến nhất hiện nay, bao gồm Chrome, Firefox, Opera, Edge, Brave và Yandex Browser, đều nằm trong danh sách mục tiêu. Khi đã thâm nhập thành công, mã độc này sẽ tiến hành trích xuất dữ liệu tự động điền, thông tin đăng nhập, địa chỉ cá nhân và cả chi tiết thẻ thanh toán của người dùng.
Tuy nhiên, tham vọng của Stealka không dừng lại ở đó. Nó đặc biệt nhắm mục tiêu vào các tệp cài đặt và cơ sở dữ liệu của các tiện ích mở rộng (extensions) trên trình duyệt, bao gồm các ví tiền mã hóa, trình quản lý mật khẩu và dịch vụ xác thực hai yếu tố (2FA). Theo thống kê từ Kaspersky, có khoảng 80 loại ví tiền điện tử lớn nằm trong tầm ngắm của Stealka, tiêu biểu như Binance, Coinbase, MetaMask, Crypto.com, SafePal, Trust Wallet, Phantom và Exodus.
Mã độc này được lập trình để lùng sục những thông tin nhạy cảm nhất như khóa bí mật (private keys) đã mã hóa, cụm từ khôi phục (seed phrases), đường dẫn tệp ví và các thông số mã hóa quan trọng. Những dữ liệu bị đánh cắp này có thể cho phép kẻ tấn công chiếm quyền truy cập trái phép vào tài sản kỹ thuật số và rút cạn tiền trong ví của nạn nhân chỉ trong tích tắc. Ngoài các tiện ích trên trình duyệt, Stealka còn tấn công cả các ứng dụng ví độc lập trên máy tính bằng cách can thiệp vào các tệp cấu hình chứa thông tin bảo mật then chốt.
Phạm vi ảnh hưởng và các biện pháp bảo mật cần thiết
Bên cạnh các mục tiêu liên quan đến tài chính, Stealka còn mở rộng phạm vi tấn công sang các ứng dụng nhắn tin như Discord, Telegram, các trình quản lý email, nền tảng chơi game và dịch vụ VPN. Chuyên gia nghiên cứu Artem Ushkov của Kaspersky cho biết phần lớn nạn nhân bị nhắm mục tiêu hiện đang cư trú tại Nga, nhưng các vụ tấn công cũng đã được ghi nhận tại Thổ Nhĩ Kỳ, Brazil, Đức và Ấn Độ. Kẻ tấn công thường sử dụng chính các tài khoản đã chiếm đoạt được trên những trang web mod game uy tín để tiếp tục tán phát mã độc, tạo ra một vòng xoáy lây nhiễm liên tục.
Dù tiềm ẩn nguy cơ gây thiệt hại tài chính khổng lồ, Kaspersky cho biết các giải pháp bảo mật của họ đã chặn đứng thành công mọi nỗ lực tấn công của Stealka được phát hiện cho đến nay. Hiện tại vẫn chưa có bằng chứng xác thực về những vụ mất mát tài sản lớn do loại mã độc này gây ra, nhưng sự cảnh giác là không bao giờ thừa.
Để tự bảo vệ mình trước Stealka và các mối đe dọa tương tự, người dùng được khuyến cáo tuyệt đối không tải xuống các phần mềm lậu, các bản mod game không chính thống từ những nguồn không xác thực. Việc trang bị một phần mềm diệt virus có khả năng quét theo thời gian thực là lớp phòng thủ thiết yếu.
Ngoài ra, thay vì lưu trữ mật khẩu và thông tin thanh toán trực tiếp trên trình duyệt, người dùng nên sử dụng các trình quản lý mật khẩu chuyên dụng. Việc kích hoạt xác thực hai yếu tố cho mọi tài khoản và lưu trữ mã dự phòng ở những nơi an toàn, tách biệt với môi trường kỹ thuật số, cũng là một bước đi quan trọng để bảo vệ tài sản và thông tin cá nhân trong kỷ nguyên số đầy rẫy hiểm họa này.
