Чтобы запустить OkoBot на устройства жертв, злоумышленники используют так называемую атаку ClickFix — технику социальной инженерии, когда пользователей обманом заставляют запустить вредоносную команду. OkoBot также распространяется через фейковые репозитории GitHub, замаскированные под легальные программные инструменты.
В одном таком репозитории предлагался инструмент SQL Server Management Studio (SSMS) — однако под его видом на самом деле распространялась версия аудиоредактора Audacity с трояном, сообщили специалисты Kaspersky. Они уточнили: OkoBot существует уже больше года, распространяя скрипт PowerShell TookPS.
TookPS используется на первой стадии для установки и настройки SSH-бота, распространяющего вредоносные компоненты. SSH-бот собирает данные об имени пользователя, антивирусном программном обеспечении, IP-адресе и версии операционной системы, а также отключает уведомления Windows Defender. Кроме того, бот собирает данные о криптовалютных кошельках, cookie-файлы браузера и учетные данные.
Эксперты назвали модули, используемые OkoBot при атаках:
- ext daemon/extl.exe: этот модуль внедряется в браузеры Chrome для незаметной установки и сокрытия расширения Rilide, нацеленного на сбор учетных данных, cookie-файлов, финансовой информации и данных, связанных с криптовалютами.
- SeedHunter: внедряется в аппаратные кошельки Trezor Suite, Ledger Wallet и Ledger Live для отображения подложного экрана при восстановлении сид-фразы.
- MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированные тексты, изображения и пути к файлам. Модуль также может отслеживать USB-соединения и делать снимки экрана каждые пять минут.
- OkoSpyware: отслеживает пароли к криптовалютным кошелькам, а также использует FFmpeg для записи видео их окошек и для перехвата нажатий клавиш.
Если злоумышленники завладевают сид-фразой, они получают полный доступ к криптоактивам жертвы. В этом случае хакеры обычно переводят средства на контролируемые ими адреса, поэтому вернуть украденную криптовалюту практически невозможно.
В Kaspersky утверждают, что большинство пострадавших от OkoBot пользователей находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Точная сумма украденных средств не называется. Исследователи из Kaspersky заметили, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован для IP-адресов из России и стран СНГ.
В прошлом году эксперты из ScamSniffer выявили новую тактику мошенников, крадущих сид-фразы у пользователей криптокошелька Phantom Wallet. Хакеры создают вредоносные всплывающие окна для «обновления расширения». После одобрения, потенциальным жертвам предлагается ввести их сид-фразу.




