Підписуйтеся на наш телеграм канал!

OkoBot маскується під легальний софт і викрадає дані криптогаманців Trezor та Ledger

OkoBot маскується під легальний софт і викрадає дані криптогаманців Trezor та Ledger

9:43 pm, 18 Липня, 2026

Фахівці виявили шкідливий бот OkoBot, який уже понад рік атакує користувачів криптовалют. Для зараження пристроїв зловмисники застосовують техніку соціальної інженерії Click­Fix: жертву обманом змушують самостійно виконати шкідливу команду. Паралельно бот поширюється через підроблені репозиторії GitHub, замасковані під легальні програмні інструменти.

В одному з таких репозиторіїв пропонувалося завантажити SQL Serv­er Man­age­ment Stu­dio, однак насправді користувач отримував заражену версію аудіоредактора Audac­i­ty з трояном усередині. Через цей канал розповсюджується скрипт Pow­er­Shell під назвою TookPS, який запускає першу стадію атаки: встановлює та налаштовує SSH-бота для подальшого розгортання шкідливих компонентів.

SSH-бот збирає ім’я користувача, версію операційної системи, IP-адресу та дані про антивірусне програмне забезпечення, а також вимикає сповіщення Win­dows Defend­er. Окрім цього, він перехоплює cook­ie-файли браузера, збережені облікові дані та інформацію про криптовалютні гаманці.

OkoBot використовує кілька спеціалізованих модулів. Модуль ext daemon/extl.exe впроваджується в браузер Chrome і непомітно встановлює розширення Rilide, яке збирає фінансові дані, cook­ie-файли та інформацію про криптовалюти. Seed­Hunter атакує апаратні гаманці Tre­zor Suite, Ledger Wal­let і Ledger Live, підмінюючи екран відновлення сід-фрази на фальшивий. MC Key­log­ger фіксує всі натискання клавіш, вміст буфера обміну, робить скріншоти кожні п’ять хвилин і відстежує підключення USB-пристроїв. Модуль OkoSpy­ware стежить за паролями до криптогаманців і за допомогою FFm­peg записує відео їхніх вікон та перехоплює введення з клавіатури.

Якщо зловмисники отримують сід-фразу, вони дістають повний контроль над усіма криптоактивами жертви. Кошти миттєво переводяться на підконтрольні хакерам адреси, і повернути їх практично неможливо.

За даними спеціалістів, найбільше постраждалих від OkoBot зафіксовано у Бразилії, В’єтнамі, Канаді, Мексиці та Туреччині. Загальна сума викрадених коштів не розголошується.

Це не перший подібний випадок: минулого року експерти Scam­Snif­fer зафіксували схему крадіжки сід-фраз у власників гаманця Phan­tom Wal­let. Тоді шахраї створювали підроблені спливаючі вікна з пропозицією оновити розширення, після чого просили жертву ввести сід-фразу для підтвердження.

BTC

$64,560.01

0.77%

ETH

$1,859.26

0.93%

BNB

$571.44

0.92%

XRP

$1.09

0.24%

SOL

$75.41

0.33%

Всі курси
Показати більше