Специалисты центра глобальных исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) обнаружили вредоносную платформу OkoBot, ориентированную на кражу криптовалюты и конфиденциальных данных пользователей. По данным компании, кампания длится более года и продолжает оставаться активной в настоящее время. Инфраструктура включает свыше 20 модулей, которые способны похищать учётные записи, сид-фразы от криптокошельков, внедрять вредоносные расширения в браузеры, записывать действия на экране и перехватывать нажатия клавиш.

Заражение происходит преимущественно с использованием методов социальной инженерии, в том числе через схему ClickFix, которая имитирует подсказки по исправлению ошибок и побуждает пользователя самостоятельно запустить вредоносную команду. Дополнительным каналом распространения выступает платформа GitHub, где злоумышленники размещают вредоносное ПО под видом легальных программных проектов. Отдельный модуль платформы отслеживает запуск приложений для аппаратных криптокошельков Trezor и Ledger, после чего отображает пользователю поддельную страницу восстановления доступа с требованием ввести сид-фразу.

Активность OkoBot зафиксирована более чем в 25 странах мира. Среди государств, попавших под атаки, исследователи отмечают Бразилию, Вьетнам, Канаду, Мексику и Турцию. При этом установлено, что одной из приоритетных целей злоумышленников являются разработчики и другие ИТ-специалисты, чьи учётные данные и рабочие среды могут открывать доступ к более широкому спектру цифровых активов и сервисов.

Анализ применяемых тактик и технических приёмов позволил экспертам выявить русскоязычные артефакты в коде и инфраструктуре платформы. Исследователи Kaspersky GReAT допускают, что эти следы могут указывать на происхождение участников кампании. Обнаружение сгенерированного нейросетью изображения в связанных с вредоносной платформой материалах дополнительно подтверждает современный и адаптивный характер угрозы, объединяющей инструменты ИИ с классическими техниками шпионажа и финансового мошенничества.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *