Crypto Prices

Kaspersky обнаружил один из самых опасных ботов для кражи криптовалюты у владельцев кошельков

7 часов назад
1 мин. чтения
5 просмотров

Предупреждение о вредоносном ПО OkoBot

Эксперты Глобальной исследовательской и аналитической команды Kaspersky (GReAT) предупреждают, что сотни пользователей в 25 странах находятся под угрозой кражи своих активов. Опасный вредоносный фреймворк OkoBot, нацеленный на владельцев криптовалюты, вошел в активную фазу. Хакеры полностью пересмотрели свои тактики и теперь нацеливаются на людей, которые считали себя защищенными, отмечают аналитики в новом отчете.

Методы кражи средств

Вредоносное ПО крадет средства, перехватывая функции официальных приложений Ledger Live, Ledger Wallet и Trezor Suite, и отображает поддельное окно проверки. Чтобы избежать этой уловки, пользователям рекомендуется строго следовать трем ключевым правилам безопасности.

Целевая аудитория злоумышленников

В этой кампании злоумышленники намеренно нацеливаются на IT-специалистов и разработчиков программного обеспечения. Первоначальная компрометация происходит, когда хакеры маскируют вредоносное ПО под популярные рабочие инструменты и распространяют зараженное программное обеспечение через GitHub. В частности, исследователи уже обнаружили вредоносное ПО внутри поддельного установщика Microsoft SQL Server Management Studio (SSMS).

Социальная инженерия и расширения для браузеров

Злоумышленники также используют сложные атаки ClickFix — технику социальной инженерии, при которой пользователей убеждают скопировать и запустить вредоносный код в терминале под предлогом исправления неожиданной ошибки браузера. Согласно данным Kaspersky GReAT, поскольку вредоносное ПО использует модульную структуру, состоящую из более чем 20 компонентов, включая инфостилер Rilide и модуль слежения OkoSpyware, ожидается, что географический охват атак расширится за пределы стран, в которых в настоящее время сообщается о наибольшем количестве инфекций, возглавляемых Бразилией, Вьетнамом, Канадой, Мексикой и Турцией.

Заключительный этап атак

Также ожидается появление новых скрытых расширений для браузеров на базе Chromium, включая Chrome и Edge. Вредоносное ПО может полностью удалить эти расширения из видимого списка установленных дополнений, оставляя пользователей в неведении о их наличии. Заключительный этап может включать массовую продажу доступа к компьютерам жертв. После установления постоянного доступа в системе OkoBot тайно создает новую учетную запись администратора и открывает постоянный SSH-туннель для удаленного управления через RDP.

Популярные статьи