Касперський викриває зловмисну атаку OkoBot: 20+ програм у співпраці вкрали фрази відновлення криптогаманців

Команда Kaspersky GReAT розкрила шкідливу програму-рамку OkoBot: понад 20 видів шкідливих програм діють спільно, щоб викрасти фрази-паролі для криптогаманців, браузерні cookie та облікові дані для входу в браузерах; вона вже проникла в 25 країн і вражає сотні користувачів.
(Попередня довідка: Увага! Kaspersky виявила Android та iOS популярних застосунках зловмисне ПЗ, що викрадає фрази-паролі гаманців)
(Додаткова довідка: зловмисне ПЗ SparkKitty проникало в App Store та Google Play, викрадаючи «скріншоти фраз-паролів» криптогаманців)

Зміст статті

Toggle

  • OkoBot-рамка: 20 видів шкідливих програм, що діють разом
  • SeedHunter: викрадення фраз-паролів Ledger і Trezor
  • OkoSpyware: одночасний запис клавіатури та екрана
  • Понад рік безперервно активна, а розробники націлені насамперед на жертв

Глобальна дослідницько-аналітична команда Kaspersky (GReAT) розкрила шкідливу програму-рамку під назвою OkoBot. Ця рамка містить понад 20 видів шкідливих програм і вбудованих компонентів, які працюють у координації через SSH-тунелі та спеціалізуються на викраденні фраз-паролів гаманців для криптовалют, браузерних cookie та паролів акаунтів; уже заражено користувачів у всьому світі в 25 країнах.

OkoBot-рамка: 20 видів шкідливих програм, що діють разом

OkoBot — це не одна-єдина шкідлива програма, а цілий модульний фреймворк атак. У технічному звіті Securelist Kaspersky докладно розклала повний ланцюжок зараження: завантажувач TookPS відповідає за первинне проникнення → SSH-bot збирає системну інформацію та встановлює зворотний тунель → ініціатор HDUtil розгортає різні шкідливі модулі → і зрештою через SFTP відправляє назад викрадені дані.

Фреймворк містить п’ять основних плагінів:

  • CMD-обгортка (10xx): виконує скрипти та окремі команди в системі
  • PowerShell-обгортка (11xx): підтримує виконання PowerShell-скриптів
  • перераховувач середовища (12xx): збирає системну інформацію, активні сесії та виконувані процеси
  • завантажувач (14xx): завантажує додаткові корисні навантаження з вбудованого Base64-бінарного blob або URL
  • інжектор процесів (16xx): ін’єктує шкідливі компоненти у нормальні процеси

SeedHunter: викрадення фраз-паролів Ledger і Trezor

Один із ключових модулів SeedHunter відстежує активні процеси в системі та ін’єктує компоненти в такі застосунки, як Trezor Suite, Ledger Wallet і Ledger Live. Коли виявляється підключений апаратний гаманець, SeedHunter відображає вбудовану (hard-coded) фішингову сторінку, яка просить користувача ввести фразу-пароль. Ця сторінка використовує різні дизайн-макети для кожного типу гаманця; викрадені фрази-паролі далі відправляються на C2-сервер із використанням шифрування RC4.

У офіційному пресрелізі Kaspersky особливо зазначила, що шлях зараження OkoBot здебільшого включає ClickFix — фішингові підробки з натисканням — та маскування під програмне забезпечення, яке розповсюджується через GitHub. Дослідники виявили кейс із фальшивим інсталятором SQL Server Management Studio — насправді всередині був вбудований шкідливий компонент у вигляді аудіоредактора Audacity.

OkoSpyware: одночасний запис клавіатури та екрана

Модуль OkoSpyware, який OkoBot додав нещодавно, одночасно фіксує введення з клавіатури та потокове відео вікна цільового застосунку. Він виводить список понад 100 назв виконуваних файлів, включно з Exodus, Litecoin QT та іншими криптовалютними гаманцями, KeePassXC, 1Password — менеджерами паролів, а також різними поширеними застосунками. Для кожного ідентифікованого процесу OkoSpyware використовує вбудований екземпляр FFmpeg, щоб записати MP4-відео, а паралельно фіксує натискання клавіш.

Браузери також не залишаються поза увагою: коли OkoSpyware визначає заголовок вікна сторінки розширення гаманця, наприклад MetaMask або Tonkeeper, він автоматично запускає запис і логування введення та записує заголовок вікна в JSON-файл метаданих.

Понад рік безперервно активна, а розробники націлені насамперед на жертв

Ланцюжок зараження OkoBot розпочав роботу ще з квітня 2025 року, і з того часу триває понад рік, продовжуючи еволюціонувати. Дослідники Kaspersky зазначили, що найбільше атакованих користувачів припадає на такі країни: Бразилія, В’єтнам, Канада, Мексика та Туреччина. Хоча наразі неможливо визначити, кому саме належить конкретна злочинна група, технічний аналіз виявив сліди коду російською мовою, а викрадені дані збираючий модуль (Rilide), який використовує шкідливе ПЗ, широко поширений у російськомовних мережевих кримінальних форумах.

У своєму звіті Kaspersky попереджає, що постійна еволюція фреймворка OkoBot свідчить: бекенд-розробники досі активно ведуть розробку. Оскільки активність із розповсюдженням продовжується, цей фреймворк має потенціал впливати на дедалі більше користувачів криптовалют і розробників.

LTC1,64%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено