Avvertimento sul Malware OkoBot
Gli esperti del Global Research and Analysis Team (GReAT) di Kaspersky avvertono che centinaia di utenti in 25 paesi sono a rischio di furto dei propri beni a causa del pericoloso malware OkoBot, che prende di mira i possessori di criptovalute ed è entrato in una fase attiva. Gli hacker hanno completamente rivisto le loro tattiche e ora si concentrano su persone che credevano di essere completamente protette, come evidenziato in un nuovo rapporto degli analisti.
Meccanismo di Attacco
Il malware ruba fondi intercettando le funzioni delle applicazioni ufficiali Ledger Live, Ledger Wallet e Trezor Suite, visualizzando una falsa finestra di verifica. Per evitare di cadere in questo inganno, si consiglia agli utenti di seguire rigorosamente tre regole chiave di sicurezza.
Target degli Attacchi
In questa campagna, gli attaccanti prendono di mira deliberatamente specialisti IT e sviluppatori software. Il compromesso iniziale avviene quando gli hacker mascherano il malware come strumenti di lavoro popolari e distribuiscono software infetto tramite GitHub. In particolare, i ricercatori hanno già scoperto il malware all’interno di un falso installer di Microsoft SQL Server Management Studio (SSMS).
Strategie di Ingegneria Sociale
Allo stesso tempo, gli attaccanti utilizzano sofisticati attacchi ClickFix, una tecnica di ingegneria sociale in cui gli utenti vengono persuasi a copiare ed eseguire codice malevolo in un terminale, con il pretesto di risolvere un errore imprevisto del browser.
Espansione Geografica e Nuove Minacce
Secondo Kaspersky GReAT, poiché il malware utilizza una struttura modulare composta da oltre 20 componenti, incluso il Rilide infostealer e il modulo di sorveglianza OkoSpyware, si prevede che la portata geografica degli attacchi si espanda oltre i paesi attualmente segnalanti il numero più alto di infezioni, guidati da Brasile, Vietnam, Canada, Messico e Turchia.
Minacce Future
Si prevede anche l’emergere di nuove estensioni nascoste per i browser basati su Chromium, tra cui Chrome ed Edge. Il malware può rimuovere completamente queste estensioni dall’elenco visibile dei componenti aggiuntivi installati, lasciando gli utenti ignari della loro presenza. La fase finale potrebbe comportare la vendita su larga scala dell’accesso ai computer delle vittime. Dopo aver stabilito la persistenza in un sistema, OkoBot crea segretamente un nuovo account amministratore e apre un tunnel SSH permanente per il controllo remoto tramite RDP.