Підписуйтеся на наш телеграм канал!
OkoBot маскується під легальний софт і викрадає дані криптогаманців Trezor та Ledger
Фахівці виявили шкідливий бот OkoBot, який уже понад рік атакує користувачів криптовалют. Для зараження пристроїв зловмисники застосовують техніку соціальної інженерії ClickFix: жертву обманом змушують самостійно виконати шкідливу команду. Паралельно бот поширюється через підроблені репозиторії GitHub, замасковані під легальні програмні інструменти.
В одному з таких репозиторіїв пропонувалося завантажити SQL Server Management Studio, однак насправді користувач отримував заражену версію аудіоредактора Audacity з трояном усередині. Через цей канал розповсюджується скрипт PowerShell під назвою TookPS, який запускає першу стадію атаки: встановлює та налаштовує SSH-бота для подальшого розгортання шкідливих компонентів.
SSH-бот збирає ім’я користувача, версію операційної системи, IP-адресу та дані про антивірусне програмне забезпечення, а також вимикає сповіщення Windows Defender. Окрім цього, він перехоплює cookie-файли браузера, збережені облікові дані та інформацію про криптовалютні гаманці.
OkoBot використовує кілька спеціалізованих модулів. Модуль ext daemon/extl.exe впроваджується в браузер Chrome і непомітно встановлює розширення Rilide, яке збирає фінансові дані, cookie-файли та інформацію про криптовалюти. SeedHunter атакує апаратні гаманці Trezor Suite, Ledger Wallet і Ledger Live, підмінюючи екран відновлення сід-фрази на фальшивий. MC Keylogger фіксує всі натискання клавіш, вміст буфера обміну, робить скріншоти кожні п’ять хвилин і відстежує підключення USB-пристроїв. Модуль OkoSpyware стежить за паролями до криптогаманців і за допомогою FFmpeg записує відео їхніх вікон та перехоплює введення з клавіатури.
Якщо зловмисники отримують сід-фразу, вони дістають повний контроль над усіма криптоактивами жертви. Кошти миттєво переводяться на підконтрольні хакерам адреси, і повернути їх практично неможливо.
За даними спеціалістів, найбільше постраждалих від OkoBot зафіксовано у Бразилії, В’єтнамі, Канаді, Мексиці та Туреччині. Загальна сума викрадених коштів не розголошується.
Це не перший подібний випадок: минулого року експерти ScamSniffer зафіксували схему крадіжки сід-фраз у власників гаманця Phantom Wallet. Тоді шахраї створювали підроблені спливаючі вікна з пропозицією оновити розширення, після чого просили жертву ввести сід-фразу для підтвердження.
