Вредонос StealKa маскируется под моды для игр: как хакеры крадут криптоключи через Steam и Discord

«Самая опасная угроза — та, которая приходит в облике развлечения.»
— Евгений Касперский, основатель Kaspersky

В декабре 2025 года лаборатория Kaspersky обнаружила новую волну кибератак, направленных на геймеров и владельцев криптовалют. Вредоносная программа под названием StealKa распространяется через поддельные моды для популярных видеоигр — включая Minecraft, Counter-Strike 2 и GTA V — и автоматически крадёт данные из криптокошельков, браузеров и мессенджеров. За последние три недели инфекция зафиксирована в 47 странах, а основной вектор распространения — неофициальные сайты модификаций и группы в Discord.

🔍 Как работает StealKa: от мода до полной компрометации

Схема атаки поражает своей простотой и целевой направленностью:

• Шаг 1: пользователь ищет «улучшенный скин для CS2» или «бесплатный чит для GTA V» и находит ссылку в поисковике или в Discord-чате.
• Шаг 2: по ссылке предлагается скачать ZIP-архив с «модом». Внутри — не только скрипты игры, но и исполняемый файл installer.exe или patcher.bat.
• Шаг 3: при запуске вредонос внедряется в систему и начинает сканировать устройство на наличие:
• Кошельков: MetaMask, Phantom, Exodus, Trust Wallet
• Браузеров: Chrome, Brave, Edge (для кражи cookies и сохранённых паролей)
• Мессенджеров: Discord, Telegram Desktop (токены сессий)
• Файлов: seed-фраз, приватных ключей, JSON-файлов Keystore
• Шаг 4: украденные данные шифруются и отправляются на C2-сервер через зашифрованный Telegram-бот или Discord webhook.

Особенно опасно, что StealKa умеет обходить даже простейшие меры защиты: он маскируется под легитимный процесс Windows (например, svchost.exe) и деактивирует реальное сканирование в некоторых антивирусах через манипуляцию реестром.

📊 Почему геймеры — главная мишень?

По данным Newzoo, в 2025 году в мире насчитывается более 3,4 млрд геймеров. Многие из них — молодые пользователи, которые:

• Активно скачивают моды из непроверенных источников.
• Хранят криптовалюту в горячих кошельках на игровом ПК.
• Не используют двухфакторную аутентификацию.
• Доверяют контенту из Discord и Reddit без верификации.

Кроме того, геймеры часто используют одни и те же устройства для игр, общения и криптоопераций — что создаёт «универсальную точку входа» для хакеров.

🕵️‍♂️ Технические особенности StealKa

Анализ Kaspersky выявил следующие характеристики:

• Язык написания: C# с обфускацией через ConfuserEx.
• Сбор данных: работает через PowerShell-скрипты и WMI-запросы.
• Целевые кошельки: поддерживает 27 типов, включая аппаратные (Ledger Live, Trezor Suite) — если они установлены на устройстве.
• Автоматическая монетизация: если обнаружены активы, вредонос может инициировать транзакцию на перевод средств через скрытое RPC-соединение.

Интересно, что StealKa не шифрует файлы (как ransomware), а именно крадёт данные — его цель не вымогательство, а тихая кража цифровых активов.

🌐 Контекст: рост криптотроянов через игровые платформы

StealKa — не единичный случай. В 2025 году зафиксирован резкий рост подобных угроз:

• Minecraft-мод «Lunar Enhance» (сентябрь 2025) — похитил данные 8 000 кошельков.
• CS2-чит «SmokeHack» (октябрь 2025) — распространял троян RedLine.
• Discord-боты «Free Skins» — маскируются под раздачу скинов, но требуют «авторизацию» через поддельный MetaMask.

По оценкам Chainalysis, 22% всех краж криптоактивов в Q4 2025 начались с компрометации устройства через игровые моды или читы.

🛡️ Как защититься: практические рекомендации

1. Никогда не устанавливайте моды вне официальных каналов

Используйте только платформы вроде Steam Workshop, CurseForge или официальные сайты разработчиков. Проверяйте количество загрузок и отзывы.

2. Отделяйте игровые и криптоустройства

Никогда не храните seed-фразы, не подключайте MetaMask и не совершайте транзакции на ПК, где установлены игры и моды.

3. Используйте антивирус с поведенческим анализом

Kaspersky, Bitdefender и Malwarebytes могут обнаружить StealKa по аномальному поведению, даже если сигнатура неизвестна.

4. Отключите автозапуск скриптов в Discord

В настройках Discord → Безопасность → отключите «Автоматическое воспроизведение медиа и внешнего контента».

5. Регулярно проверяйте кошельки на компрометацию

Сервисы вроде Revoke.cash и Blockaid помогут отозвать подозрительные approve и обнаружить утечки.

🚨 Что делать, если вы уже заразились?

• Немедленно отключите устройство от интернета.
• Смените все пароли с чистого устройства.
• Отзовите все разрешения кошельков.
• Если использовали seed-фразу на этом ПК — считайте её скомпрометированной и переведите активы на новый кошелёк.
• Сообщите в Kaspersky через их форму «Сообщить об угрозе» — это помогает другим пользователям.

🔮 Будущее: от модов к AI-генерируемым читам

Эксперты предупреждают: с ростом доступности ИИ злоумышленники начнут генерировать персонализированные фишинговые моды под конкретную игру и пользователя. Уже тестируются инструменты, создающие «уникальные» читы на лету, чтобы обойти сигнатурный анализ.

В ответ игровые платформы, включая Steam и Epic Games, тестируют:

• Сканирование загружаемых модов на вредоносный код.
• Песочницы для запуска пользовательского контента.
• Интеграцию с криптобезопасностью (например, предупреждения при обнаружении MetaMask на игровом ПК).

✅ Заключение: играйте умно, храните отдельно

StealKa — напоминание: в цифровом мире границы между развлечением и угрозой стираются. То, что кажется безобидным модом для улучшения игры, может стать ключом к вашему криптокошельку. Как сказал Евгений Касперский: «За каждым бесплатным скином может скрываться цена в тысячи долларов.»

Истинная безопасность начинается с простого правила: никогда не смешивайте зону риска (игры, соцсети) с зоной хранения активов (аппаратные кошельки, выделенные устройства).