Эксперты российской компании в сфере информационной безопасности, «Лаборатории Касперского», еще в январе этого года обнаружили новую вредоносную платформу OkoBot, предназначенную для кражи криптовалюты и данных пользователей криптокошельков. По данным экспертов, кампания продолжается уже более года и все еще остается активной, представляя угрозу для владельцев криптовалюты.

По словам специалистов, в состав схемы входит более 20 модулей, которые позволяют злоумышленникам похищать учетные данные и сид-фразы (секретные фразы для восстановления доступа к криптокошельку), скрытно устанавливать вредоносные расширения в браузер, записывать действия пользователя и выполнять другие действия. Один из новых модулей — OkoSpyware — перехватывает нажатия клавиш и видеопоток из окна целевого приложения.
Как заражаются устройства
Первоначальное заражение происходит двумя основными способами. В первом случае злоумышленники используют технику ClickFix и с помощью социальной инженерии убеждают пользователя самостоятельно выполнить вредоносный код.
Во втором — распространяют вредоносное ПО через GitHub под видом легитимных программ, например под видом установщика SQL Server Management Studio (SSMS), популярного инструмента Microsoft для управления базами данных.
Как злоумышленники получают доступ к криптокошелькам
Один из модулей OkoBot — SeedHunter — отслеживает запуск официальных приложений для управления аппаратными криптокошельками Trezor Suite, Ledger Wallet и Ledger Live. Когда вредоносное ПО обнаруживает подключенный аппаратный криптокошелек Trezor или Ledger, оно отображает фишинговую страницу восстановления кошелька, оформленную в стиле конкретного приложения, и предлагает ввести сид-фразу. Если это сделать, злоумышленники получают возможность завладеть криптоактивами.
Кого атакуют и где
Попытки заражения зафиксированы в отношении сотен пользователей более чем в 25 странах, больше всего — в Бразилии, Вьетнаме, Канаде, Мексике и Турции. По мнению экспертов, выбранные злоумышленниками способы распространения указывают на то, что одной из основных целей кампании являются разработчики и другие ИТ-специалисты, которые регулярно используют GitHub и специализированное программное обеспечение.
Кто стоит за атаками
В настоящее время эксперты не могут с уверенностью утверждать, какая именно кибергруппа стоит за данной кампанией. Однако используемые техники и задействованная в кампании программа для кражи данных широко распространены среди русскоговорящих злоумышленников, а в ходе технического анализа были обнаружены артефакты на русском языке.
Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») в России, прокомментировал: «Кампания OkoBot продолжается уже более года и по-прежнему остается активной. Наблюдаемые способы распространения указывают на то, что одна из основных целей злоумышленников — разработчики. Обеспокоенность вызывает постоянная эволюция вредоносной платформы. Это свидетельствует о том, что злоумышленники продолжают активно развивать платформу. По мере продолжения кампании злоумышленники могут охватить больше пользователей и расширить географию атак».
В марте этого года «Лаборатория Касперского» зафиксировала всплеск мошеннических рассылок, распространяемых через сервисы для создания онлайн-опросов. Злоумышленники используют подобные платформы для маскировки ссылок на скам-ресурсы: таким способом они могут продвигать как криптовалютные схемы, так и другие виды мошенничества.
Читайте больше на нашем Telegram-канале!