Читайте нас в Telegram или Макс

Новая вредоносная платформа крадёт сид-фразы от криптокошельков

Эксперты Kaspersky GReAT обнаружили OkoBot — вредоносную платформу, которая атакует владельцев криптокошельков и пытается украсть сид-фразы через фишинговые окна в стиле Trezor и Ledger.

В состав платформы входит более 20 модулей. Они позволяют злоумышленникам похищать учётные данные и сид-фразы, скрытно устанавливать вредоносные расширения в браузер, записывать действия пользователя и выполнять другие вредоносные операции.

Один из новых модулей — OkoSpyware — перехватывает нажатия клавиш и видеопоток из окна целевого приложения. По данным экспертов, кампания продолжается уже больше года и остаётся активной.

Первоначальное заражение происходит двумя основными способами:

  • в первом случае злоумышленники используют технику ClickFix и убеждают пользователя самостоятельно выполнить вредоносный код;
  • во втором — распространяют вредоносное ПО через GitHub под видом легитимных программ.

Во время исследования эксперты нашли, например, поддельный установщик SQL Server Management Studio — популярного инструмента Microsoft для управления базами данных.

Для кражи доступа к криптокошелькам используется модуль SeedHunter. Он отслеживает запуск официальных приложений Trezor Suite, Ledger Wallet и Ledger Live. Если вредоносное ПО обнаруживает подключённый аппаратный кошелёк Trezor или Ledger, оно показывает фишинговую страницу восстановления кошелька и просит ввести сид-фразу.

Попытки заражения зафиксированы в отношении сотен пользователей более чем в 25 странах. Больше всего случаев обнаружено в Бразилии, Вьетнаме, Канаде, Мексике и Турции.

В «Лаборатории Касперского» считают, что одной из основных целей кампании могут быть разработчики и ИТ-специалисты, которые регулярно используют GitHub и специализированное ПО.

Эксперты пока не называют конкретную группировку, стоящую за атаками. Однако использованные техники и программа для кражи данных распространены среди русскоговорящих злоумышленников, а при техническом анализе были найдены артефакты на русском языке.