Кодик кратко объясняет суть статьи
Эксперты Kaspersky GReAT обнаружили вредоносную платформу OkoBot, нацеленную на кражу сид-фраз владельцев криптокошельков через фишинговые окна, имитирующие интерфейс Trezor и Ledger. Платформа включает более 20 модулей, в том числе OkoSpyware, перехватывающий нажатия клавиш и видеопоток, и SeedHunter, отслеживающий запуск приложений Trezor и Ledger для кражи сид-фраз. Заражение происходит через технику ClickFix или поддельные программы на GitHub, например, установщик SQL Server Management Studio. Атаки продолжаются более года, затронуты сотни пользователей в 25+ странах, особенно в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Основными целями, вероятно, являются разработчики и ИТ-специалисты. За атаками могут стоять русскоговорящие злоумышленники — в коде найдены артефакты на русском языке. Конкретная группировка не установлена.
Читайте в Telegram
|
Эксперты Kaspersky GReAT обнаружили OkoBot — вредоносную платформу, которая атакует владельцев криптокошельков и пытается украсть сид-фразы через фишинговые окна в стиле Trezor и Ledger.
В состав платформы входит более 20 модулей. Они позволяют злоумышленникам похищать учётные данные и сид-фразы, скрытно устанавливать вредоносные расширения в браузер, записывать действия пользователя и выполнять другие вредоносные операции.
Один из новых модулей — OkoSpyware — перехватывает нажатия клавиш и видеопоток из окна целевого приложения. По данным экспертов, кампания продолжается уже больше года и остаётся активной.
Первоначальное заражение происходит двумя основными способами:
- в первом случае злоумышленники используют технику ClickFix и убеждают пользователя самостоятельно выполнить вредоносный код;
- во втором — распространяют вредоносное ПО через GitHub под видом легитимных программ.
Во время исследования эксперты нашли, например, поддельный установщик SQL Server Management Studio — популярного инструмента Microsoft для управления базами данных.
Для кражи доступа к криптокошелькам используется модуль SeedHunter. Он отслеживает запуск официальных приложений Trezor Suite, Ledger Wallet и Ledger Live. Если вредоносное ПО обнаруживает подключённый аппаратный кошелёк Trezor или Ledger, оно показывает фишинговую страницу восстановления кошелька и просит ввести сид-фразу.
Попытки заражения зафиксированы в отношении сотен пользователей более чем в 25 странах. Больше всего случаев обнаружено в Бразилии, Вьетнаме, Канаде, Мексике и Турции.
В «Лаборатории Касперского» считают, что одной из основных целей кампании могут быть разработчики и ИТ-специалисты, которые регулярно используют GitHub и специализированное ПО.
Эксперты пока не называют конкретную группировку, стоящую за атаками. Однако использованные техники и программа для кражи данных распространены среди русскоговорящих злоумышленников, а при техническом анализе были найдены артефакты на русском языке.







