Siber güvenlik şirketi Kaspersky, kripto para kullanıcılarını doğrudan hedef alan yeni ve gelişmiş bir bilgi hırsızı (infostealer) zararlı yazılım tespit etti. “Stealka” adı verilen bu kötü amaçlı yazılımın, Kasım 2025’te ilk kez ortaya çıktığı ve sahte oyun modları ile korsan yazılımlar üzerinden yayıldığı bildirildi.
Stealka’nın GitHub, SourceForge ve Google Sites gibi güvenilir görünen platformlar üzerinden dağıtılması, tehdidin fark edilmesini zorlaştırıyor.
Kaspersky’nin analizine göre Stealka, popüler oyunlar için hazırlanmış hileler ve modlar (Roblox, Grand Theft Auto V gibi) ya da Microsoft Visio gibi yazılımların korsan sürümleri kılığında kullanıcıların sistemlerine sızıyor. Saldırganlar, profesyonel görünümlü sahte internet siteleri oluşturarak zararlı yazılımı meşru içerik gibi sunuyor ve bu sayede kullanıcıları indirmeye ikna ediyor.
Stealka’nın temel hedefi, Chromium ve Gecko tabanlı tarayıcılar. Bu kapsamda Chrome, Firefox, Opera, Edge, Brave ve Yandex Browser dahil olmak üzere 100’den fazla tarayıcı risk altında bulunuyor. Zararlı yazılım; tarayıcılarda kayıtlı oturum açma bilgileri, adresler ve ödeme kartı verileri gibi otomatik doldurma (autofill) verilerini ele geçirebiliyor. Ayrıca tarayıcı eklentilerinin ayar ve veritabanlarını hedef alarak kripto cüzdanlar, parola yöneticileri ve iki faktörlü kimlik doğrulama servislerine erişmeye çalışıyor.
Rapora göre Stealka, MetaMask, Binance, Coinbase, Trust Wallet, Phantom, Crypto.com, SafePal, Exodus ve benzeri olmak üzere 80’den fazla kripto para cüzdanını doğrudan hedef alıyor. Zararlı yazılım; şifrelenmiş özel anahtarlar, seed phrase cüzdan dosya yolları ve şifreleme parametreleri gibi son derece hassas bilgileri arıyor. Bu verilerin ele geçirilmesi, saldırganların kripto varlıklara yetkisiz erişim sağlayarak cüzdanları boşaltmasına yol açabilecek potansiyel bir risk oluşturuyor. Stealka ayrıca bağımsız kripto cüzdan uygulamalarının yapılandırma dosyalarını da hedef alıyor.
Kripto ekosistemiyle sınırlı kalmayan Stealka, Discord ve Telegram gibi mesajlaşma uygulamalarını, e-posta istemcilerini, oyun platformlarını, parola yöneticilerini ve VPN servislerini de hedef alıyor. Bu geniş saldırı yüzeyi, siber suçluların hesap ele geçirme ve daha ileri saldırılar için istihbarat toplama kapasitesini artırıyor.
Kaspersky araştırmacısı Artem Ushkov, Stealka’dan etkilenen kullanıcıların büyük bölümünün Rusya’da bulunduğunu, ancak Türkiye, Brezilya, Almanya ve Hindistan’da da vakaların tespit edildiğini belirtti. Ayrıca saldırganların, meşru oyun mod sitelerindeki ele geçirilmiş hesapları kullanarak zararlı yazılımı yaymaya devam ettikleri ve böylece zincirleme bir bulaşma döngüsü oluşturdukları ifade edildi.
Kaspersky, Stealka’nın ciddi finansal zararlara yol açabilecek bir potansiyele sahip olduğunu söylese de, şu ana kadar tespit edilen tüm örneklerde doğrulanmış büyük çaplı bir kripto hırsızlığı vakasına rastlanmadığını açıkladı.
Uzmanlar, kullanıcıların korsan yazılımlardan ve doğrulanmamış oyun modlarından uzak durmasını, yalnızca resmi ve güvenilir kaynaklardan indirme yapmasını öneriyor.
*Yatırım tavsiyesi değildir.