Эксперты из подразделения Kaspersky GReAT обнаружили сложную вредоносную экосистему под названием OkoBot, специализирующуюся на краже конфиденциальных данных и цифровых активов. Согласно отчёту аналитиков, кампания ведётся непрерывно уже более года. В арсенале платформы — свыше 20 функциональных модулей, позволяющих похищать пароли и сид-фразы, интегрировать в браузеры шпионские расширения, вести скрытый мониторинг активности пользователя и перехватывать нажатия клавиш.


Вектор заражения базируется на изощрённых методах социальной инженерии, в частности на схеме ClickFix. Кроме того, злоумышленники активно используют платформу GitHub, маскируя вредоносный код под легитимное программное обеспечение. Одной из ключевых функций OkoBot является детекция запуска десктопных приложений для аппаратных криптокошельков (Trezor, Ledger), после чего пользователь перенаправляется на фишинговый интерфейс, имитирующий процесс восстановления доступа для кражи мнемонической фразы.
География атак охватывает более 25 государств, включая Мексику, Турцию, Бразилию, Вьетнам и Канаду. По мнению экспертов, приоритетной мишенью хакеров стали ИТ-специалисты и разработчики. Анализ кода и выявленные внутри него русскоязычные маркеры дают основания предполагать, что за этой вредоносной кампанией стоят злоумышленники из соответствующих регионов.
Источник: iXBT


