OkoBot: новая вредоносная платформа крадёт криптовалютные кошельки и данные

Фото: BleepingComputer
Краткий ответ
OkoBot — это вредоносный фреймворк, распространяющий 20 модулей для кражи криптовалютных seed-фраз, логинов, cookies и другой конфиденциальной информации.
Эксперты компании Kaspersky обнаружили новую вредоносную платформу OkoBot, которая распространяет более 20 модулей для кражи криптовалютных кошельков, учётных данных и другой конфиденциальной информации. Злоумышленники используют фишинговые атаки ClickFix и поддельные репозитории на GitHub*, выдающие себя за легитимное ПО. Например, один из таких репозиториев предлагал заражённую версию аудиоредактора Audacity под видом SQL Server Management Studio.
Кампания OkoBot развивается с января 2025 года и эволюционировала из атаки с использованием скрипта TookPS. Теперь вредонос использует многоступенчатую цепочку заражения, где на первом этапе устанавливается SSH-бот. Этот бот отключает уведомления Windows Defender, собирает данные о системе (имя пользователя, антивирус, IP-адрес, версия ОС) и крадёт файлы криптовалютных кошельков, cookies браузеров и учётные данные.
Среди модулей OkoBot наиболее опасны: ext daemon/extl.exe, внедряющийся в Chrome для скрытой установки расширений вроде Rilide (кража логинов, cookies и финансовых данных); SeedHunter, подменяющий интерфейсы Trezor Suite и Ledger фальшивыми экранами восстановления seed-фраз; MC Keylogger, записывающий нажатия клавиш, содержимое буфера обмена и делающий скриншоты каждые 5 минут. Также выделяется OkoSpyware, отслеживающий 100 приложений, включая криптокошельки и менеджеры паролей, и записывающий видео с их окон.
По данным Kaspersky, основные жертвы OkoBot находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции, но атаки носят глобальный характер. Серверы злоумышленников блокируют запросы с IP-адресов России и стран СНГ, а в коде модуля SeedHunter обнаружены комментарии на русском языке. Это, а также использование инфостилера, активно продвигаемого на закрытых русскоязычных форумах, указывает на возможную причастность русскоязычных киберпреступников.
Частые вопросы
- Что такое OkoBot?
- OkoBot — это вредоносный фреймворк, используемый для кражи криптовалютных кошельков, учётных данных и другой конфиденциальной информации. Он распространяется через фишинг и поддельные репозитории на GitHub*.
- Как работает OkoBot?
- Злоумышленники внедряют вредонос через многоступенчатую цепочку заражения, начиная с SSH-бота, который отключает защиту Windows Defender и собирает данные о системе. Затем активируются модули для кражи данных, включая seed-фразы криптовалютных кошельков.
- Кто основные жертвы OkoBot?
- Большинство пострадавших находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции, но кампания носит глобальный характер. Серверы злоумышленников блокируют запросы с IP-адресов России и стран СНГ.
Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml