Kaspersky GReAT обнаружила OkoBot — вредоносную платформу, которая атакует владельцев криптокошельков не через само устройство, а через поддельные окна восстановления. Кампания длится уже более года, а в зоне риска оказались сотни пользователей в 25+ странах.
Для маскировки OkoBot использует фишинговые окна, имитирующие интерфейс Trezor и Ledger. По данным исследователей, злоумышленники подкидывают жертвам фальшивую страницу восстановления кошелька, чтобы выманить seed-фразу в нужный момент. В OkoBot больше 20 модулей. Один из них, OkoSpyware, перехватывает нажатия клавиш и видеопоток в окне нужной программы, а модуль SeedHunter отслеживает запуск приложений Trezor и Ledger, чтобы украсть seed-фразу.
![]()
Доступ к крипто кошельку злоумышленникам можно предоставить самостоятельно
Заражение происходит сразу двумя путями: через технику ClickFix и через поддельные программы на GitHub. В качестве примера поддельной программы исследователи упомянули установщик SQL Server Management Studio, который может служить приманкой для дальнейшего заражения.
Больше всего попыток заражения зафиксировано в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Исследователи также считают, что основная цель кампании — разработчики и IT-специалисты.
В коде нашли русскоязычные артефакты, поэтому исследователи допускают, что к атакам могут быть причастны русскоговорящие злоумышленники. Но вне зависимости от авторства схема одна и та же: пользователю показывают знакомый экран, а затем выманивают ключ к кошельку под видом обычного восстановления.
Как считаете, опаснее сама вредоносная платформа или поддельный интерфейс, который заставляет жертву всё сделать своими руками? Делитесь в комментариях.
НовостиДругие новости — околоигровоеВзломы и мошенничествоСервисы и соцсетиЖелезо и технологиикриптовалюты
Источник: vgtimes.ru