Категории Криптовалюты и NFT

Платформа OkoBot маскируется под Trezor и крадёт сид-фразы криптокошельков

Платформа OkoBot маскируется под Trezor и крадёт сид-фразы криптокошельков

Эксперты Kaspersky GReAT нашли вредоносную платформу OkoBot. Она охотится за владельцами криптокошельков и вытягивает сид-фразы через поддельные окна, оформленные под Trezor и Ledger. Кампания живёт уже больше года, за это время под неё попали сотни пользователей из 25+ стран. Сид-фраза здесь — это полный доступ к кошельку. Если её украли, откатить уже ничего нельзя.

Внутри OkoBot больше 20 модулей. Один из них, OkoSpyware, умеет перехватывать нажатия клавиш и видеопоток из окна нужной программы. Другой, SeedHunter, отслеживает запуск Trezor Suite, Ledger Wallet и Ledger Live. Если он видит подключённый аппаратный кошелёк, то выводит фишинговую страницу восстановления и просит ввести секретную фразу. Обычно это 12, 18 или 24 слова. Этого хватает, чтобы увести активы на другой адрес.

Заражение идёт по двум схемам. В одной используют ClickFix: пользователя убеждают самому запустить вредоносную команду, будто бы он просто чинит ошибку. В другой вредоносное ПО раздают через GitHub под видом обычных инструментов. Во время исследования специалисты, например, наткнулись на поддельный установщик SQL Server Management Studio — это популярная программа Microsoft для администрирования баз данных. Для разработчиков и ИТ-специалистов такой сценарий особенно неприятен: они чаще других скачивают утилиты, тестовые сборки и скрипты из репозиториев.

Читайте также:

Больше всего попыток заражения Kaspersky зафиксировала в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Конкретную группировку компания не называет, но в коде нашли русскоязычные артефакты, а сами техники уже встречались у русскоязычных операторов кражи данных. Для владельцев аппаратных кошельков тут есть простой ориентир: ни Trezor, ни Ledger не должны внезапно просить сид-фразу во всплывающем окне во время обычной работы. Если такой запрос появился, это почти наверняка не восстановление кошелька, а попытка его украсть.

На фоне роста крипторынка такие схемы только набирают цену. Аппаратные кошельки долго продавали как «холодную» защиту активов, но OkoBot бьёт не по устройству, а по человеку, который сам вводит секретные слова в поддельный интерфейс. Дальше, похоже, будут новые детекции. Атака уже вышла за пределы одной страны и нацелена не на случайных жертв, а на тех, у кого на ПК стоит специализированный софт и есть доступ к цифровым активам.

Источник: Kod