Лаборатория Касперского обнаружила вирус OkoBot для кражи сид-фраз от криптокошельков
Эксперты «Лаборатории Касперского» выявили вредоносную платформу OkoBot, которая атакует владельцев криптовалютных кошельков. Вирус похищает сид-фразы с помощью фишинговых окон, имитирующих интерфейсы аппаратных кошельков Trezor и Ledger. Об этом сообщает «Код» со ссылкой на исследование компании.
Платформа OkoBot включает более 20 модулей. Они позволяют похищать учетные данные, скрытно устанавливать вредоносные расширения в браузер и записывать действия пользователя. Один из новых модулей, OkoSpyware, перехватывает нажатия клавиш и видеопоток из окна целевого приложения.
Заражение происходит двумя способами. В первом случае злоумышленники убеждают пользователя самостоятельно запустить вредоносный код. Во втором — распространяют вирус через GitHub под видом легальных программ, например, поддельного установщика SQL Server Management Studio.
Для кражи доступа к криптокошелькам используется модуль SeedHunter. Он отслеживает запуск официальных приложений Trezor Suite и Ledger Live. При подключении аппаратного кошелька программа показывает фишинговую страницу восстановления и просит ввести сид-фразу.
Атаки зафиксированы в отношении сотен пользователей более чем в 25 странах. Наибольшее число случаев выявлено в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Предполагается, что основными целями кампании являются разработчики и IT-специалисты.
Конкретная хакерская группировка пока не установлена. Однако использованные техники и найденные при анализе артефакты на русском языке указывают на вероятную причастность русскоговорящих злоумышленников.
«По данным экспертов, кампания продолжается уже больше года и остаётся активной», — сообщили в «Лаборатории Касперского».
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.