Предупреждение о вредоносном ПО OkoBot
Эксперты Глобальной исследовательской и аналитической команды Kaspersky (GReAT) предупреждают, что сотни пользователей в 25 странах находятся под угрозой кражи своих активов. Опасный вредоносный фреймворк OkoBot, нацеленный на владельцев криптовалюты, вошел в активную фазу. Хакеры полностью пересмотрели свои тактики и теперь нацеливаются на людей, которые считали себя защищенными, отмечают аналитики в новом отчете.
Методы кражи средств
Вредоносное ПО крадет средства, перехватывая функции официальных приложений Ledger Live, Ledger Wallet и Trezor Suite, и отображает поддельное окно проверки. Чтобы избежать этой уловки, пользователям рекомендуется строго следовать трем ключевым правилам безопасности.
Целевая аудитория злоумышленников
В этой кампании злоумышленники намеренно нацеливаются на IT-специалистов и разработчиков программного обеспечения. Первоначальная компрометация происходит, когда хакеры маскируют вредоносное ПО под популярные рабочие инструменты и распространяют зараженное программное обеспечение через GitHub. В частности, исследователи уже обнаружили вредоносное ПО внутри поддельного установщика Microsoft SQL Server Management Studio (SSMS).
Социальная инженерия и расширения для браузеров
Злоумышленники также используют сложные атаки ClickFix — технику социальной инженерии, при которой пользователей убеждают скопировать и запустить вредоносный код в терминале под предлогом исправления неожиданной ошибки браузера. Согласно данным Kaspersky GReAT, поскольку вредоносное ПО использует модульную структуру, состоящую из более чем 20 компонентов, включая инфостилер Rilide и модуль слежения OkoSpyware, ожидается, что географический охват атак расширится за пределы стран, в которых в настоящее время сообщается о наибольшем количестве инфекций, возглавляемых Бразилией, Вьетнамом, Канадой, Мексикой и Турцией.
Заключительный этап атак
Также ожидается появление новых скрытых расширений для браузеров на базе Chromium, включая Chrome и Edge. Вредоносное ПО может полностью удалить эти расширения из видимого списка установленных дополнений, оставляя пользователей в неведении о их наличии. Заключительный этап может включать массовую продажу доступа к компьютерам жертв. После установления постоянного доступа в системе OkoBot тайно создает новую учетную запись администратора и открывает постоянный SSH-туннель для удаленного управления через RDP.