✔Малварь OkoBot нацелена на владельцев программных и аппаратных криптокошельков - «Новости»
Аналитики «Лаборатории Касперского» обнаружили вредоносную платформу OkoBot, которая нацелена на кражу криптовалюты и данных владельцев криптокошельков. В состав фреймворка входит более 20 модулей: они похищают учетные данные и файлы, перехватывают пользовательский ввод, устанавливают скрытые расширения в браузеры и записывают происходящее в окнах целевых приложений.
Связанная с OkoBot вредоносная кампания активна с весны 2025 года. Исследователи обнаружили ее в январе 2026 года, когда изучали атаки с применением неизвестной малвари, способной перехватывать содержимое окон криптокошельков.
Для первоначального заражения операторы OkoBot используют два основных вектора. Первый — атаки типа ClickFix, когда жертву убеждают самостоятельно скопировать и запустить вредоносную команду в системе. Второй — поддельный софт, размещенный на GitHub. К примеру, исследователи пишут, что злоумышленники распространяли фальшивый установщик SQL Server Management Studio. Вместо SSMS пользователь скачивал легитимный аудиоредактор Audacity, в одну из библиотек которого заранее встроили малварь. Отмечается, что этот репозиторий попал в поисковую выдачу и занимал высокие позиции по запросам, связанным с SSMS.
После запуска фальшивого SSMS выполняется PowerShell-скрипт TookPS. Он устанавливает на зараженной машине SSH, создает туннель до инфраструктуры злоумышленников и открывает доступ для автоматизированного бота. Тот собирает информацию о системе, похищает файлы криптокошельков, профили браузеров, файлы cookie и учетные данные, а затем загружает дополнительные модули.
Особое внимание исследователи уделили компоненту SeedHunter. Он отслеживает запуск официальных приложений для управления аппаратными кошельками Trezor Suite, Ledger Wallet и Ledger Live и проверяет, подключен ли к компьютеру сам кошелек. После этого малварь показывает жертве фишинговую страницу восстановления, оформленную в стиле нужного приложения, и предлагает ввести seed-фразу. Полученные данные передаются на управляющий сервер хакеров.
Другой модуль, получивший название OkoSpyware, следит более чем за сотней приложений, включая криптовалютные кошельки и менеджеры паролей. Под такое «наблюдение» попадают даже страницы браузерных расширений, например, MetaMask и Tonkeeper. Вредонос записывает нажатия клавиш и с помощью встроенного FFmpeg сохраняет видео из окна целевой программы.
Кроме того, OkoBot способен незаметно устанавливать и скрывать дополнительные вредоносные расширения в Chromium-браузерах. В изученных специалистами атаках таким способом распространялся стилер Rilide, нацеленный на кражу учетных данных, файлов cookie, финансовой информации и криптовалюты.
Эксперты зафиксировали сотни попыток заражения OkoBot более чем в 25 странах. Больше всего атакованных пользователей находились в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Учитывая, что малварь распространяют через GitHub и маскируют под профессиональный софт, исследователи считают, что одна из основных целей этой кампании — разработчики и другие ИТ-специалисты.
Связать OkoBot с конкретной хак-группой пока не удалось. Однако в отчете отмечается, что серверы кампании блокируют загрузку вредоносных скриптов для России и стран СНГ, стилер Rilide активно распространяется на закрытых русскоязычных хак-форумах, а в коде фишинговых страниц SeedHunter были найдены комментарии на русском языке.





