Новая вредоносная платформа OkoBot нацелена на пользователей криптовалюты

Кампания с применением этой платформы длится уже более года

В январе 2026 года эксперты Kaspersky GReAT обнаружили новую вредоносную платформу OkoBot, предназначенную для кражи криптовалюты и данных пользователей криптокошельков. В её состав входит более 20 модулей, которые позволяют злоумышленникам похищать учётные данные и сид-фразы — секретные фразы для восстановления доступа к криптокошельку, скрытно устанавливать вредоносные расширения в браузер, записывать действия пользователя и выполнять другие действия. Один из новых модулей — OkoSpyware — перехватывает нажатия клавиш и видеопоток из окна целевого приложения. По данным экспертов, кампания продолжается уже более года и всё ещё остаётся активной, представляя угрозу для владельцев криптовалюты.

Как заражаются устройства. Первоначальное заражение происходит двумя основными способами. В первом случае злоумышленники используют технику ClickFix и с помощью социальной инженерии убеждают пользователя самостоятельно выполнить вредоносный код. Во втором — распространяют вредоносное ПО через GitHub под видом легитимных программ, например под видом установщика SQL Server Management Studio (SSMS), популярного инструмента Microsoft для управления базами данных.

Как злоумышленники получают доступ к криптокошелькам. Один из модулей OkoBot — SeedHunter — отслеживает запуск официальных приложений для управления аппаратными криптокошельками Trezor Suite, Ledger Wallet и Ledger Live. Когда вредоносное ПО обнаруживает подключённый аппаратный криптокошелёк Trezor или Ledger, оно отображает фишинговую страницу восстановления кошелька, оформленную в стиле конкретного приложения, и предлагает ввести сид-фразу. Если это сделать, злоумышленники получают возможность завладеть криптоактивами.

Кого атакуют и где. Попытки заражения зафиксированы в отношении сотен пользователей более чем в 25 странах, больше всего — в Бразилии, Вьетнаме, Канаде, Мексике и Турции. По мнению экспертов, выбранные злоумышленниками способы распространения указывают на то, что одной из основных целей кампании являются разработчики и другие ИТ-специалисты, которые регулярно используют GitHub и специализированное программное обеспечение.

Кто стоит за атаками. В настоящее время эксперты не могут с уверенностью утверждать, какая именно кибергруппа стоит за данной кампанией. Однако используемые техники и задействованная в кампании программа для кражи данных широко распространены среди русскоговорящих злоумышленников, а в ходе технического анализа были обнаружены артефакты на русском языке.

Фишинговые страницы для кражи сид-фраз, использовавшиеся в кампании OkoBot

"Кампания OkoBot продолжается уже более года и по-прежнему остаётся активной. Наблюдаемые способы распространения указывают на то, что одна из основных целей злоумышленников — разработчики. Обеспокоенность вызывает постоянная эволюция вредоносной платформы. Это свидетельствует о том, что злоумышленники продолжают активно развивать платформу. По мере продолжения кампании злоумышленники могут охватить больше пользователей и расширить географию атак", — предупреждает Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследования и анализа угроз "Лаборатории Касперского") в России.

Эксперты Kaspersky GReAT рекомендуют пользователям:

· ни в коем случае не следовать инструкциям по установке на устройство неизвестного кода. Злоумышленники часто используют эту тактику для заражения систем, что может привести к потере данных и даже к потере контроля над устройством;

· использовать на всех устройствах надёжное защитное решение, эффективность которого подтверждается независимыми тестами, например Kaspersky Premium;

· не хранить пароли или фразы для восстановления в фотогалерее или заметках; вместо этого использовать надёжный менеджер паролей, например Kaspersky Password Manager;

· не отключать антивирус или другие средства защиты ради установки программного обеспечения и проявлять осторожность при загрузке модов, читов или сторонних утилит;

· обновлять операционные системы и приложения, использовать надёжные уникальные пароли и включать многофакторную аутентификацию во всех сервисах, где это возможно.

О Kaspersky GReAT

Глобальный центр исследования и анализа угроз "Лаборатории Касперского" (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.

Читать на сайте источника »