Малварь OkoBot нацелена на владельцев программных и аппаратных криптокошельков - «Новости» » Интернет технологии
sitename
Линус Торвальдс высказался об использовании ИИ: «Форкайте ядро или уходите» - «Новости»
Линус Торвальдс высказался об использовании ИИ: «Форкайте ядро или уходите» - «Новости»
Claude для Chrome позволяет другим расширениям читать данные Gmail, Google Docs и не только - «Новости»
Claude для Chrome позволяет другим расширениям читать данные Gmail, Google Docs и не только - «Новости»
В Zoom для Windows исправили критическую уязвимость - «Новости»
В Zoom для Windows исправили критическую уязвимость - «Новости»
Малварь OkoBot нацелена на владельцев программных и аппаратных криптокошельков - «Новости»
Малварь OkoBot нацелена на владельцев программных и аппаратных криптокошельков - «Новости»
Четвертый бумажный спецвыпуск «Хакера» передан в печать - «Новости»
Четвертый бумажный спецвыпуск «Хакера» передан в печать - «Новости»
Япония разморозила строительство маглева Токио — Нагоя после десятилетней паузы - «Новости сети»
Япония разморозила строительство маглева Токио — Нагоя после десятилетней паузы - «Новости сети»
В Китае прошёл первый международный турнир по боям человекоподобных роботов — одному оторвали голову - «Новости сети»
В Китае прошёл первый международный турнир по боям человекоподобных роботов — одному оторвали голову - «Новости сети»
Телевизоры LG уличили в слежке за пользователями, а мониторы — в самовольной установке ненужного ПО - «Новости сети»
Телевизоры LG уличили в слежке за пользователями, а мониторы — в самовольной установке ненужного ПО - «Новости сети»
Бывший ракетный инженер создал крошечный дрон-охотник на комаров - «Новости сети»
Бывший ракетный инженер создал крошечный дрон-охотник на комаров - «Новости сети»
Bethesda официально анонсировала Fallout 5, новую Fallout от Obsidian, ремастеры Fallout 3 и New Vegas - «Новости сети»
Bethesda официально анонсировала Fallout 5, новую Fallout от Obsidian, ремастеры Fallout 3 и New Vegas - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Малварь OkoBot нацелена на владельцев программных и аппаратных криптокошельков - «Новости»

Аналитики «Лаборатории Касперского» обнаружили вредоносную платформу OkoBot, которая нацелена на кражу криптовалюты и данных владельцев криптокошельков. В состав фреймворка входит более 20 модулей: они похищают учетные данные и файлы, перехватывают пользовательский ввод, устанавливают скрытые расширения в браузеры и записывают происходящее в окнах целевых приложений.


Связанная с OkoBot вредоносная кампания активна с весны 2025 года. Исследователи обнаружили ее в январе 2026 года, когда изучали атаки с применением неизвестной малвари, способной перехватывать содержимое окон криптокошельков.


Для первоначального заражения операторы OkoBot используют два основных вектора. Первый — атаки типа ClickFix, когда жертву убеждают самостоятельно скопировать и запустить вредоносную команду в системе. Второй — поддельный софт, размещенный на GitHub. К примеру, исследователи пишут, что злоумышленники распространяли фальшивый установщик SQL Server Management Studio. Вместо SSMS пользователь скачивал легитимный аудиоредактор Audacity, в одну из библиотек которого заранее встроили малварь. Отмечается, что этот репозиторий попал в поисковую выдачу и занимал высокие позиции по запросам, связанным с SSMS.


После запуска фальшивого SSMS выполняется PowerShell-скрипт TookPS. Он устанавливает на зараженной машине SSH, создает туннель до инфраструктуры злоумышленников и открывает доступ для автоматизированного бота. Тот собирает информацию о системе, похищает файлы криптокошельков, профили браузеров, файлы cookie и учетные данные, а затем загружает дополнительные модули.


Особое внимание исследователи уделили компоненту SeedHunter. Он отслеживает запуск официальных приложений для управления аппаратными кошельками Trezor Suite, Ledger Wallet и Ledger Live и проверяет, подключен ли к компьютеру сам кошелек. После этого малварь показывает жертве фишинговую страницу восстановления, оформленную в стиле нужного приложения, и предлагает ввести seed-фразу. Полученные данные передаются на управляющий сервер хакеров.





Другой модуль, получивший название OkoSpyware, следит более чем за сотней приложений, включая криптовалютные кошельки и менеджеры паролей. Под такое «наблюдение» попадают даже страницы браузерных расширений, например, MetaMask и Tonkeeper. Вредонос записывает нажатия клавиш и с помощью встроенного FFmpeg сохраняет видео из окна целевой программы.


Кроме того, OkoBot способен незаметно устанавливать и скрывать дополнительные вредоносные расширения в Chromium-браузерах. В изученных специалистами атаках таким способом распространялся стилер Rilide, нацеленный на кражу учетных данных, файлов cookie, финансовой информации и криптовалюты.


Эксперты зафиксировали сотни попыток заражения OkoBot более чем в 25 странах. Больше всего атакованных пользователей находились в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Учитывая, что малварь распространяют через GitHub и маскируют под профессиональный софт, исследователи считают, что одна из основных целей этой кампании — разработчики и другие ИТ-специалисты.


Связать OkoBot с конкретной хак-группой пока не удалось. Однако в отчете отмечается, что серверы кампании блокируют загрузку вредоносных скриптов для России и стран СНГ, стилер Rilide активно распространяется на закрытых русскоязычных хак-форумах, а в коде фишинговых страниц SeedHunter были найдены комментарии на русском языке.


Аналитики «Лаборатории Касперского» обнаружили вредоносную платформу OkoBot, которая нацелена на кражу криптовалюты и данных владельцев криптокошельков. В состав фреймворка входит более 20 модулей: они похищают учетные данные и файлы, перехватывают пользовательский ввод, устанавливают скрытые расширения в браузеры и записывают происходящее в окнах целевых приложений. Связанная с OkoBot вредоносная кампания активна с весны 2025 года. Исследователи обнаружили ее в январе 2026 года, когда изучали атаки с применением неизвестной малвари, способной перехватывать содержимое окон криптокошельков. Для первоначального заражения операторы OkoBot используют два основных вектора. Первый — атаки типа ClickFix, когда жертву убеждают самостоятельно скопировать и запустить вредоносную команду в системе. Второй — поддельный софт, размещенный на GitHub. К примеру, исследователи пишут, что злоумышленники распространяли фальшивый установщик SQL Server Management Studio. Вместо SSMS пользователь скачивал легитимный аудиоредактор Audacity, в одну из библиотек которого заранее встроили малварь. Отмечается, что этот репозиторий попал в поисковую выдачу и занимал высокие позиции по запросам, связанным с SSMS. После запуска фальшивого SSMS выполняется PowerShell-скрипт TookPS. Он устанавливает на зараженной машине SSH, создает туннель до инфраструктуры злоумышленников и открывает доступ для автоматизированного бота. Тот собирает информацию о системе, похищает файлы криптокошельков, профили браузеров, файлы cookie и учетные данные, а затем загружает дополнительные модули. Особое внимание исследователи уделили компоненту SeedHunter. Он отслеживает запуск официальных приложений для управления аппаратными кошельками Trezor Suite, Ledger Wallet и Ledger Live и проверяет, подключен ли к компьютеру сам кошелек. После этого малварь показывает жертве фишинговую страницу восстановления, оформленную в стиле нужного приложения, и предлагает ввести seed-фразу. Полученные данные передаются на управляющий сервер хакеров. Другой модуль, получивший название OkoSpyware, следит более чем за сотней приложений, включая криптовалютные кошельки и менеджеры паролей. Под такое «наблюдение» попадают даже страницы браузерных расширений, например, MetaMask и Tonkeeper. Вредонос записывает нажатия клавиш и с помощью встроенного FFmpeg сохраняет видео из окна целевой программы. Кроме того, OkoBot способен незаметно устанавливать и скрывать дополнительные вредоносные расширения в Chromium-браузерах. В изученных специалистами атаках таким способом распространялся стилер Rilide, нацеленный на кражу учетных данных, файлов cookie, финансовой информации и криптовалюты. Эксперты зафиксировали сотни попыток заражения OkoBot более чем в 25 странах. Больше всего атакованных пользователей находились в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Учитывая, что малварь распространяют через GitHub и маскируют под профессиональный софт, исследователи считают, что одна из основных целей этой кампании — разработчики и другие ИТ-специалисты. Связать OkoBot с конкретной хак-группой пока не удалось. Однако в отчете отмечается, что серверы кампании блокируют загрузку вредоносных скриптов для России и стран СНГ, стилер Rilide активно распространяется на закрытых русскоязычных хак-форумах, а в коде фишинговых страниц SeedHunter были найдены комментарии на русском языке.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Moore
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: