Перейти к содержанию

Кошелёк открывают фальшивым ключом: OkoBot крадёт сид-фразы у владельцев криптовалюты

Платформа следит за клавиатурой, записывает экран и устанавливает опасные расширения в браузер

Эксперты «Лаборатории Касперского» обнаружили OkoBot — платформу из более чем 20 модулей для кражи криптовалюты и данных кошельков. Она перехватывает пароли и нажатия клавиш, записывает происходящее в окне приложения и устанавливает вредоносные расширения в браузер.

Злоумышленники убеждают человека самостоятельно запустить опасную команду или размещают заражённые файлы на GitHub под видом обычных программ. Одной из приманок стал установщик инструмента Microsoft для работы с базами данных.

Особенно опасен модуль SeedHunter. Он отслеживает запуск Trezor Suite, Ledger Wallet и Ledger Live, а затем показывает поддельное окно восстановления. Если ввести туда сид-фразу, преступники получают доступ к криптоактивам.

Попытки заражения были предприняты против сотен пользователей в более чем 25 странах, но чаще всего они происходили в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Эта кампания продолжается уже более года и по-прежнему активна. Кто стоит за атаками, неизвестно: исследователи нашли русскоязычные следы, но этого недостаточно для точных выводов.

Читайте ещё материалы по теме: