Лаборатория Касперского раскрыла вредоносную атаку OkoBot: 20+ программ действовали совместно, чтобы украсть фразы восстановления криптокошельков

Команда Kaspersky GReAT раскрыла вредоносный фреймворк OkoBot: более 20 видов вредоносного ПО работают сообща, чтобы похищать seed-фразы криптокошельков, cookie браузеров и учетные данные, уже проникнув в 25 стран — сотни пользователей.
(Предыстория: Осторожно! Kaspersky обнаружила на Android и iOS в популярных приложениях вредоносное ПО, которое крадет seed-фразы кошельков)
(Дополнительный контекст: вредоносное ПО SparkKitty проникало в Apple и Google Store, похищая «скриншоты seed-фраз» криптокошельков)

Содержание

Toggle

  • Фреймворк OkoBot: 20 видов вредоносного ПО действуют вместе
  • SeedHunter: кража seed-фраз Ledger и Trezor
  • OkoSpyware: одновременно записывает клавиатуру и экран
  • Свыше года сохраняет активность, приоритетная цель — разработчики

Глобальная исследовательско-аналитическая команда Kaspersky (GReAT) раскрыла вредоносный фреймворк под названием OkoBot. Этот фреймворк включает более 20 видов вредоносных программ и внедрений, которые с помощью SSH-туннелей работают в координации: они нацелены на кражу seed-фраз криптовалютных кошельков, cookie браузеров и паролей учетных записей, проникнув в 25 стран по всему миру — сотням пользователей.

Фреймворк OkoBot: 20 видов вредоносного ПО действуют вместе

OkoBot — это не одна-единственная вредоносная программа, а целый набор модульных атак. Kaspersky в техническом отчете Securelist подробно разобрала всю цепочку заражения: загрузчик TookPS отвечает за первичное проникновение → SSH bot собирает информацию о системе и создает обратный туннель → лаунчер HDUtil разворачивает каждый вредоносный модуль → в итоге через SFTP отправляет украденные данные обратно.

Фреймворк включает пять основных плагинов:

  • CMD-обертка (10xx): выполняет скрипты и отдельные команды в системе
  • PowerShell-обертка (11xx): поддерживает выполнение PowerShell-скриптов
  • перечислитель окружения (12xx): собирает информацию о системе, активные сессии и запланированные задачи
  • загрузчик (14xx): скачивает дополнительные полезные нагрузки из встроенного Base64-бинарного blob или URL
  • инжектор задач (16xx): внедряет вредоносные импланты в нормальные процессы

SeedHunter: кража seed-фраз Ledger и Trezor

Один из ключевых модулей — SeedHunter — отслеживает активные процессы в системе и внедряет импланты в такие приложения, как Trezor Suite, Ledger Wallet и Ledger Live. При обнаружении подключенного аппаратного кошелька SeedHunter показывает хардкодированную фишинговую страницу с запросом на ввод seed-фразы. Эта страница использует разные варианты дизайна для каждого типа кошелька; затем украденная seed-фраза отправляется в C2-сервер, будучи зашифрованной с помощью RC4.

Kaspersky в официальном пресс-релизе отдельно отмечает, что основные пути заражения OkoBot включают ClickFix — клик-мошенничество, а также маскированное ПО, распространяемое через GitHub. Исследователи выявили кейсы с поддельным установщиком SQL Server Management Studio: в реальности в него был встроен Audacity — аудиоредактор со вредоносным имплантом.

OkoSpyware: одновременно записывает клавиатуру и экран

Добавленный в OkoBot модуль OkoSpyware одновременно захватывает ввод с клавиатуры и видеострим окна целевого приложения. Он формирует список более чем из 100 названий исполняемых файлов, включая Exodus, Litecoin QT и другие криптокошельки, KeePassXC, 1Password и прочие менеджеры паролей, а также различные популярные приложения. Для каждого идентифицированного процесса OkoSpyware использует встроенный экземпляр FFmpeg, записывая MP4-видео, и параллельно фиксирует нажатия клавиш.

Браузеры тоже не остаются в стороне: когда OkoSpyware обнаруживает заголовок окна расширения кошельков, таких как MetaMask или Tonkeeper, он автоматически запускает запись и журналирование вводимых данных, а заголовок окна записывается в JSON-файл с метаданными.

Свыше года сохраняет активность, приоритетная цель — разработчики

Цепочка заражения OkoBot работает с апреля 2025 года — уже более года, и продолжает развиваться. Исследователи Kaspersky отмечают, что страны, где пострадавших пользователей больше всего, — это Бразилия, Вьетнам, Канада, Мексика и Турция. Хотя сейчас нельзя уверенно установить привязку к конкретной преступной группе, теханализ показывает следы кода на русском языке, а кражевое ПО (Rilide), используемое вредоносной программой, широко распространено на русскоязычных форумах киберпреступников.

В отчете Kaspersky предупреждает, что продолжающееся развитие фреймворка OkoBot указывает на то, что его поддерживающие лица по-прежнему активно разрабатывают проект. По мере продолжения распределения у этого фреймворка есть потенциал повлиять на большее число пользователей и разработчиков криптовалют.

LTC3,60%
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено