Платформа OkoBot для кражи криптовалюты все еще активна

«Используемые техники и программа для кражи данных широко распространены среди русскоговорящих злоумышленников, а в ходе анализа были обнаружены артефакты на русском языке»

Эксперты российской компании в сфере информационной безопасности, «Лаборатории Касперского», еще в январе этого года обнаружили новую вредоносную платформу OkoBot, предназначенную для кражи криптовалюты и данных пользователей криптокошельков. По данным экспертов, кампания продолжается уже более года и все еще остается активной, представляя угрозу для владельцев криптовалюты.

По словам специалистов, в состав схемы входит более 20 модулей, которые позволяют злоумышленникам похищать учетные данные и сид-фразы (секретные фразы для восстановления доступа к криптокошельку), скрытно устанавливать вредоносные расширения в браузер, записывать действия пользователя и выполнять другие действия. Один из новых модулей — OkoSpyware — перехватывает нажатия клавиш и видеопоток из окна целевого приложения.

Как заражаются устройства

Первоначальное заражение происходит двумя основными способами. В первом случае злоумышленники используют технику ClickFix и с помощью социальной инженерии убеждают пользователя самостоятельно выполнить вредоносный код.

Во втором — распространяют вредоносное ПО через GitHub под видом легитимных программ, например под видом установщика SQL Server Management Studio (SSMS), популярного инструмента Microsoft для управления базами данных.

Как злоумышленники получают доступ к криптокошелькам

Один из модулей OkoBot — SeedHunter — отслеживает запуск официальных приложений для управления аппаратными криптокошельками Trezor Suite, Ledger Wallet и Ledger Live. Когда вредоносное ПО обнаруживает подключенный аппаратный криптокошелек Trezor или Ledger, оно отображает фишинговую страницу восстановления кошелька, оформленную в стиле конкретного приложения, и предлагает ввести сид-фразу. Если это сделать, злоумышленники получают возможность завладеть криптоактивами.

Кого атакуют и где

Попытки заражения зафиксированы в отношении сотен пользователей более чем в 25 странах, больше всего — в Бразилии, Вьетнаме, Канаде, Мексике и Турции. По мнению экспертов, выбранные злоумышленниками способы распространения указывают на то, что одной из основных целей кампании являются разработчики и другие ИТ-специалисты, которые регулярно используют GitHub и специализированное программное обеспечение.

Кто стоит за атаками

В настоящее время эксперты не могут с уверенностью утверждать, какая именно кибергруппа стоит за данной кампанией. Однако используемые техники и задействованная в кампании программа для кражи данных широко распространены среди русскоговорящих злоумышленников, а в ходе технического анализа были обнаружены артефакты на русском языке.

Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») в России, прокомментировал: «Кампания OkoBot продолжается уже более года и по-прежнему остается активной. Наблюдаемые способы распространения указывают на то, что одна из основных целей злоумышленников — разработчики. Обеспокоенность вызывает постоянная эволюция вредоносной платформы. Это свидетельствует о том, что злоумышленники продолжают активно развивать платформу. По мере продолжения кампании злоумышленники могут охватить больше пользователей и расширить географию атак».

В марте этого года «Лаборатория Касперского» зафиксировала всплеск мошеннических рассылок, распространяемых через сервисы для создания онлайн-опросов. Злоумышленники используют подобные платформы для маскировки ссылок на скам-ресурсы: таким способом они могут продвигать как криптовалютные схемы, так и другие виды мошенничества.

Читайте больше на нашем Telegram-канале!

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *