Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
CFD
Деривативы CFD на акции
Акции США
Доступ к реальным акциям США и ETF
Акции Гонконга
Торгуйте качественными акциями, котирующимися в Гонконге
Корейские акции
SK Hynix
Торгуйте реальными корейскими акциями и инвестируйте в популярные активы
Фьючерсы на акции
Высокое кредитное плечо, круглосуточная торговля
Токенизированные акции
Обеспечено реальными акциями
IPO Access
Откройте полный доступ к глобальным IPO акций
GUSD
3.8%
Создать GUSD для получения доходности казначейских RWA
Мероприятия, связанные с акциями
Торгуйте популярными акциями и получайте щедрые эирдропы
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
VIP-центр богатства
Планы премиального роста
Gate Wealth
Возьмите под контроль свое финансовое будущее
Количественный фонд
Лучшие стратегии
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Умное плечо
Плечо без риска ликвидации
GUSD
3.8%
Пополнение и погашение в любое время, без комиссии
Рекламные акции
Промоакции
Участвуйте и получайте награды
Реферал
200 USDT
Приглашайте друзей за бонусы
Партнерская программа
Эксклюзивные комиссионные
Gate Booster
Растите влияние и получайте аирдроп
Анонсы
Обновления в реальном времени
Блог Gate
Статьи о криптоиндустрии
VIP-услуги
Огромные скидки на комиссии
Управление активами
Универсальное решение для управления активами
Институциональный
Крипто-решения для бизнеса
Разработчикам (API)
Подключение к экосистеме приложений Gate
Внебиржевые банковские переводы
Ввод и вывод фиатных денег
Брокерская программа
Щедрые механизмы скидок API
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
Лаборатория Касперского раскрыла вредоносную атаку OkoBot: 20+ программ действовали совместно, чтобы украсть фразы восстановления криптокошельков
Команда Kaspersky GReAT раскрыла вредоносный фреймворк OkoBot: более 20 видов вредоносного ПО работают сообща, чтобы похищать seed-фразы криптокошельков, cookie браузеров и учетные данные, уже проникнув в 25 стран — сотни пользователей.
(Предыстория: Осторожно! Kaspersky обнаружила на Android и iOS в популярных приложениях вредоносное ПО, которое крадет seed-фразы кошельков)
(Дополнительный контекст: вредоносное ПО SparkKitty проникало в Apple и Google Store, похищая «скриншоты seed-фраз» криптокошельков)
Содержание
Toggle
Глобальная исследовательско-аналитическая команда Kaspersky (GReAT) раскрыла вредоносный фреймворк под названием OkoBot. Этот фреймворк включает более 20 видов вредоносных программ и внедрений, которые с помощью SSH-туннелей работают в координации: они нацелены на кражу seed-фраз криптовалютных кошельков, cookie браузеров и паролей учетных записей, проникнув в 25 стран по всему миру — сотням пользователей.
Фреймворк OkoBot: 20 видов вредоносного ПО действуют вместе
OkoBot — это не одна-единственная вредоносная программа, а целый набор модульных атак. Kaspersky в техническом отчете Securelist подробно разобрала всю цепочку заражения: загрузчик TookPS отвечает за первичное проникновение → SSH bot собирает информацию о системе и создает обратный туннель → лаунчер HDUtil разворачивает каждый вредоносный модуль → в итоге через SFTP отправляет украденные данные обратно.
Фреймворк включает пять основных плагинов:
SeedHunter: кража seed-фраз Ledger и Trezor
Один из ключевых модулей — SeedHunter — отслеживает активные процессы в системе и внедряет импланты в такие приложения, как Trezor Suite, Ledger Wallet и Ledger Live. При обнаружении подключенного аппаратного кошелька SeedHunter показывает хардкодированную фишинговую страницу с запросом на ввод seed-фразы. Эта страница использует разные варианты дизайна для каждого типа кошелька; затем украденная seed-фраза отправляется в C2-сервер, будучи зашифрованной с помощью RC4.
Kaspersky в официальном пресс-релизе отдельно отмечает, что основные пути заражения OkoBot включают ClickFix — клик-мошенничество, а также маскированное ПО, распространяемое через GitHub. Исследователи выявили кейсы с поддельным установщиком SQL Server Management Studio: в реальности в него был встроен Audacity — аудиоредактор со вредоносным имплантом.
OkoSpyware: одновременно записывает клавиатуру и экран
Добавленный в OkoBot модуль OkoSpyware одновременно захватывает ввод с клавиатуры и видеострим окна целевого приложения. Он формирует список более чем из 100 названий исполняемых файлов, включая Exodus, Litecoin QT и другие криптокошельки, KeePassXC, 1Password и прочие менеджеры паролей, а также различные популярные приложения. Для каждого идентифицированного процесса OkoSpyware использует встроенный экземпляр FFmpeg, записывая MP4-видео, и параллельно фиксирует нажатия клавиш.
Браузеры тоже не остаются в стороне: когда OkoSpyware обнаруживает заголовок окна расширения кошельков, таких как MetaMask или Tonkeeper, он автоматически запускает запись и журналирование вводимых данных, а заголовок окна записывается в JSON-файл с метаданными.
Свыше года сохраняет активность, приоритетная цель — разработчики
Цепочка заражения OkoBot работает с апреля 2025 года — уже более года, и продолжает развиваться. Исследователи Kaspersky отмечают, что страны, где пострадавших пользователей больше всего, — это Бразилия, Вьетнам, Канада, Мексика и Турция. Хотя сейчас нельзя уверенно установить привязку к конкретной преступной группе, теханализ показывает следы кода на русском языке, а кражевое ПО (Rilide), используемое вредоносной программой, широко распространено на русскоязычных форумах киберпреступников.
В отчете Kaspersky предупреждает, что продолжающееся развитие фреймворка OkoBot указывает на то, что его поддерживающие лица по-прежнему активно разрабатывают проект. По мере продолжения распределения у этого фреймворка есть потенциал повлиять на большее число пользователей и разработчиков криптовалют.