Вредонос OkoBot против пользователей криптовалюты
Новая вредоносная платформа OkoBot нацелена на пользователей криптовалюты
В январе 2026 года эксперты Kaspersky GReAT обнаружили новую вредоносную платформу OkoBot, предназначенную для кражи криптовалюты и данных пользователей криптокошельков
В её состав входит более 20 модулей, которые позволяют злоумышленникам похищать учётные данные и сид-фразы — секретные фразы для восстановления доступа к криптокошельку, скрытно устанавливать вредоносные расширения в браузер, записывать действия пользователя и выполнять другие действия. Один из новых модулей — OkoSpyware — перехватывает нажатия клавиш и видеопоток из окна целевого приложения. По данным экспертов, кампания продолжается уже более года и всё ещё остаётся активной, представляя угрозу для владельцев криптовалюты.
Как заражаются устройства. Первоначальное заражение происходит двумя основными способами. В первом случае злоумышленники используют технику ClickFix и с помощью социальной инженерии убеждают пользователя самостоятельно выполнить вредоносный код. Во втором — распространяют вредоносное ПО через GitHub под видом легитимных программ, например под видом установщика SQL Server Management Studio (SSMS), популярного инструмента Microsoft для управления базами данных.
Как злоумышленники получают доступ к криптокошелькам. Один из модулей OkoBot — SeedHunter — отслеживает запуск официальных приложений для управления аппаратными криптокошельками Trezor Suite, Ledger Wallet и Ledger Live. Когда вредоносное ПО обнаруживает подключённый аппаратный криптокошелёк Trezor или Ledger, оно отображает фишинговую страницу восстановления кошелька, оформленную в стиле конкретного приложения, и предлагает ввести сид-фразу. Если это сделать, злоумышленники получают возможность завладеть криптоактивами.
Кого атакуют и где. Попытки заражения зафиксированы в отношении сотен пользователей более чем в 25 странах, больше всего — в Бразилии, Вьетнаме, Канаде, Мексике и Турции. По мнению экспертов, выбранные злоумышленниками способы распространения указывают на то, что одной из основных целей кампании являются разработчики и другие ИТ-специалисты, которые регулярно используют GitHub и специализированное программное обеспечение.
Кто стоит за атаками. В настоящее время эксперты не могут с уверенностью утверждать, какая именно кибергруппа стоит за данной кампанией. Однако используемые техники и задействованная в кампании программа для кражи данных широко распространены среди русскоговорящих злоумышленников, а в ходе технического анализа были обнаружены артефакты на русском языке.

Фишинговые страницы для кражи сид-фраз, использовавшиеся в кампании OkoBot
«Кампания OkoBot продолжается уже более года и по-прежнему остаётся активной. Наблюдаемые способы распространения указывают на то, что одна из основных целей злоумышленников — разработчики. Обеспокоенность вызывает постоянная эволюция вредоносной платформы. Это свидетельствует о том, что злоумышленники продолжают активно развивать платформу. По мере продолжения кампании злоумышленники могут охватить больше пользователей и расширить географию атак», — предупреждает Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») в России.
Эксперты Kaspersky GReAT рекомендуют пользователям:
Создание сайтов NewMark