V-Help
← Все новости
Безопасность

OkoBot: новая вредоносная платформа крадёт криптовалютные кошельки и данные

OkoBot: новая вредоносная платформа крадёт криптовалютные кошельки и данные

Фото: BleepingComputer

Краткий ответ

OkoBot — это вредоносный фреймворк, распространяющий 20 модулей для кражи криптовалютных seed-фраз, логинов, cookies и другой конфиденциальной информации.

Эксперты компании Kaspersky обнаружили новую вредоносную платформу OkoBot, которая распространяет более 20 модулей для кражи криптовалютных кошельков, учётных данных и другой конфиденциальной информации. Злоумышленники используют фишинговые атаки ClickFix и поддельные репозитории на GitHub*, выдающие себя за легитимное ПО. Например, один из таких репозиториев предлагал заражённую версию аудиоредактора Audacity под видом SQL Server Management Studio.

Кампания OkoBot развивается с января 2025 года и эволюционировала из атаки с использованием скрипта TookPS. Теперь вредонос использует многоступенчатую цепочку заражения, где на первом этапе устанавливается SSH-бот. Этот бот отключает уведомления Windows Defender, собирает данные о системе (имя пользователя, антивирус, IP-адрес, версия ОС) и крадёт файлы криптовалютных кошельков, cookies браузеров и учётные данные.

Среди модулей OkoBot наиболее опасны: ext daemon/extl.exe, внедряющийся в Chrome для скрытой установки расширений вроде Rilide (кража логинов, cookies и финансовых данных); SeedHunter, подменяющий интерфейсы Trezor Suite и Ledger фальшивыми экранами восстановления seed-фраз; MC Keylogger, записывающий нажатия клавиш, содержимое буфера обмена и делающий скриншоты каждые 5 минут. Также выделяется OkoSpyware, отслеживающий 100 приложений, включая криптокошельки и менеджеры паролей, и записывающий видео с их окон.

По данным Kaspersky, основные жертвы OkoBot находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции, но атаки носят глобальный характер. Серверы злоумышленников блокируют запросы с IP-адресов России и стран СНГ, а в коде модуля SeedHunter обнаружены комментарии на русском языке. Это, а также использование инфостилера, активно продвигаемого на закрытых русскоязычных форумах, указывает на возможную причастность русскоязычных киберпреступников.

Частые вопросы

Что такое OkoBot?
OkoBot — это вредоносный фреймворк, используемый для кражи криптовалютных кошельков, учётных данных и другой конфиденциальной информации. Он распространяется через фишинг и поддельные репозитории на GitHub*.
Как работает OkoBot?
Злоумышленники внедряют вредонос через многоступенчатую цепочку заражения, начиная с SSH-бота, который отключает защиту Windows Defender и собирает данные о системе. Затем активируются модули для кражи данных, включая seed-фразы криптовалютных кошельков.
Кто основные жертвы OkoBot?
Большинство пострадавших находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции, но кампания носит глобальный характер. Серверы злоумышленников блокируют запросы с IP-адресов России и стран СНГ.
Поделиться:

Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml

Почему этому можно верить

Материал подготовлен редакцией V-Help на основе первоисточника с указанием даты публикации.

Публикация: Новостной отдел V-Help.ru

Источник материала: BleepingComputer