Crypto Prices

Kaspersky met en lumière l’un des bots de vol de cryptomonnaie les plus dangereux pour les propriétaires de portefeuilles

il y a 6 heures
1 minutes de lecture
2 vues

Alerte sur le malware OkoBot

Des experts de l’équipe de recherche et d’analyse mondiale de Kaspersky (GReAT) avertissent que des centaines d’utilisateurs dans 25 pays risquent de voir leurs actifs volés, alors que le dangereux malware OkoBot, ciblant les propriétaires de cryptomonnaie, entre dans une phase active. Les hackers ont complètement révisé leurs tactiques et s’attaquent désormais à des personnes qui pensaient être entièrement protégées, selon les analystes dans un nouveau rapport.

Fonctionnement du malware

Ce malware dérobe des fonds en interceptant les fonctions des applications officielles Ledger Live, Ledger Wallet et Trezor Suite, en affichant une fausse fenêtre de vérification. Pour éviter de tomber dans ce piège, les utilisateurs sont conseillés de suivre strictement trois règles de sécurité clés.

Ciblage des spécialistes en informatique

Dans cette campagne, les attaquants ciblent délibérément les spécialistes en informatique et les développeurs de logiciels. La compromission initiale se produit lorsque les hackers déguisent le malware en outils de travail populaires et distribuent des logiciels infectés via GitHub. En particulier, les chercheurs ont déjà découvert le malware à l’intérieur d’un faux installateur de Microsoft SQL Server Management Studio (SSMS).

Techniques d’attaque

Parallèlement, les attaquants utilisent des attaques ClickFix sophistiquées, une technique d’ingénierie sociale où les utilisateurs sont persuadés de copier et d’exécuter du code malveillant dans un terminal, sous prétexte de corriger une erreur inattendue du navigateur.

Portée géographique et menaces futures

Selon Kaspersky GReAT, étant donné que le malware utilise une structure modulaire composée de plus de 20 composants, y compris le voleur d’informations Rilide et le module de surveillance OkoSpyware, la portée géographique des attaques devrait s’étendre au-delà des pays actuellement signalant le plus grand nombre d’infections, notamment le Brésil, le Vietnam, le Canada, le Mexique et la Turquie.

De nouvelles extensions cachées pour les navigateurs basés sur Chromium, tels que Chrome et Edge, devraient également émerger. Ce malware peut complètement supprimer ces extensions de la liste visible des modules complémentaires installés, laissant les utilisateurs inconscients de leur présence.

Conséquences de l’infection

La dernière étape peut impliquer la vente à grande échelle d’accès aux ordinateurs des victimes. Après avoir établi une persistance dans un système, OkoBot crée secrètement un nouveau compte administrateur et ouvre un tunnel SSH permanent pour le contrôle à distance via RDP.