Posted in

Вредоносный бот крадет сид-фразы и данные криптокошельков — Kaspersky

Вредоносный бот крадет сид-фразы и данные криптокошельков — Kaspersky

Вредоносный бот крадет сид-фразы и данные криптокошельков — Kaspersky

Специалисты по кибербезопасности компании Kaspersky объявили о новой вредоносной программе OkoBot, распространяющей около 20 модулей для кражи учетных данных и сид-фраз криптовалютных кошельков.

Чтобы запустить OkoBot на устройства жертв, злоумышленники используют так называемую атаку ClickFix — технику социальной инженерии, когда пользователей обманом заставляют запустить вредоносную команду. OkoBot также распространяется через фейковые репозитории GitHub, замаскированные под легальные программные инструменты.

В одном таком репозитории предлагался инструмент SQL Server Management Studio (SSMS) — однако под его видом на самом деле распространялась версия аудиоредактора Audacity с трояном, сообщили специалисты Kaspersky. Они уточнили: OkoBot существует уже больше года, распространяя скрипт PowerShell TookPS.

TookPS используется на первой стадии для установки и настройки SSH-бота, распространяющего вредоносные компоненты. SSH-бот собирает данные об имени пользователя, антивирусном программном обеспечении, IP-адресе и версии операционной системы, а также отключает уведомления Windows Defender. Кроме того, бот собирает данные о криптовалютных кошельках, cookie-файлы браузера и учетные данные.

Эксперты назвали модули, используемые OkoBot при атаках:

  • ext daemon/extl.exe: этот модуль внедряется в браузеры Chrome для незаметной установки и сокрытия расширения Rilide, нацеленного на сбор учетных данных, cookie-файлов, финансовой информации и данных, связанных с криптовалютами.

  • SeedHunter: внедряется в аппаратные кошельки Trezor Suite, Ledger Wallet и Ledger Live для отображения подложного экрана при восстановлении сид-фразы.

  • MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированные тексты, изображения и пути к файлам. Модуль также может отслеживать USB-соединения и делать снимки экрана каждые пять минут.

  • OkoSpyware: отслеживает пароли к криптовалютным кошелькам, а также использует FFmpeg для записи видео их окошек и для перехвата нажатий клавиш.

  • Если злоумышленники завладевают сид-фразой, они получают полный доступ к криптоактивам жертвы. В этом случае хакеры обычно переводят средства на контролируемые ими адреса, поэтому вернуть украденную криптовалюту практически невозможно.

    В Kaspersky утверждают, что большинство пострадавших от OkoBot пользователей находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Точная сумма украденных средств не называется. Исследователи из Kaspersky заметили, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован для IP-адресов из России и стран СНГ.

    В прошлом году эксперты из ScamSniffer выявили новую тактику мошенников, крадущих сид-фразы у пользователей криптокошелька Phantom Wallet. Хакеры создают вредоносные всплывающие окна для «обновления расширения». После одобрения, потенциальным жертвам предлагается ввести их сид-фразу.

    Источник

    Средний рейтинг
    0 из 5 звезд. 0 голосов.