Аналитики «Лаборатории Касперского» обнаружили OkoBot — вредоносную платформу, которая охотится за данными владельцев криптокошельков. Кампания идёт с весны 2025 года, а в фокусе у злоумышленников — не только программные, но и аппаратные кошельки.

Сценарий знакомый и потому особенно опасный: человек ищет полезный софт, запускает установщик, а дальше цепочка заражения уже идёт без его участия. OkoBot умеет подменять экран, перехватывать ввод, красть файлы и незаметно подтягивать дополнительные модули. Это не одиночный стилер, а целый набор инструментов для кражи денег и доступа.

История инцидента

По данным исследователей, операторы OkoBot использовали два основных пути заражения. Первый — ClickFix, когда жертву убеждают самой вставить и запустить вредоносную команду. Второй — поддельный софт, который размещали на GitHub и выдавали за полезную программу.

Отдельно выделился фальшивый установщик SQL Server Management Studio. Вместо нужного продукта пользователь получал другой пакет, а в одной из библиотек уже сидела малварь. Такой трюк особенно коварен: поисковик показывает репозиторий высоко, название выглядит правдоподобно, и человек не видит повода для сомнений.

После запуска цепочка доходит до PowerShell-скрипта TookPS. Он ставит SSH, создаёт туннель до инфраструктуры злоумышленников и открывает доступ для бота, который собирает сведения о системе, профили браузеров, cookie, файлы криптокошельков и учётные данные.

Что пошло не так в защите

Главная проблема здесь не в одной уязвимости, а в комбинации доверия и невнимательности. Пользователь видит знакомое название, скачивает установщик и не проверяет, откуда именно пришёл файл и кто его собрал.

Вторая слабая точка — запуск команд и скриптов без понимания последствий. Механика ClickFix работает именно на этом: человек сам выполняет действия, которые обычно требовали бы вмешательства злоумышленника.

Третья проблема — отсутствие разделения между рабочими задачами и хранением ключевых активов. OkoBot ищет не только seed-фразы, но и данные браузера, менеджеры паролей, расширения и окна приложений. Если на одном компьютере у вас и работа, и кошелёк, и входы в сервисы, атакующему легче добраться до всего сразу.

Исследователи отдельно описали модуль SeedHunter. Он отслеживает запуск приложений для аппаратных кошельков, проверяет, подключено ли устройство, и показывает фишинговую страницу восстановления под стиль нужной программы. Здесь уже не помогает «осторожность в целом» — нужна привычка проверять адреса, подписи и контекст каждого запроса на ввод seed-фразы.

Уроки для читателя

OkoBot снова напоминает простую вещь: опасность часто приходит не через «дырку» в системе, а через доверие к чужому файлу. Поддельные установщики, расширения и инструкции под копирку — это классика, которая по-прежнему работает.

Если вы храните цифровые активы, держите отдельный рабочий профиль, не ставьте софт из сомнительных источников и не вводите seed-фразу вне штатной процедуры восстановления. Для базовой гигиены полезно ещё раз пересмотреть разбор поддельных установщиков и статью о том, как утечка в GitHub учит обращаться с секретами.

Отдельный риск — браузерные расширения. OkoBot умеет скрытно ставить дополнительные модули в Chromium-браузерах и подсовывать вредоносные надстройки. Это значит, что защиту нужно строить не только вокруг кошелька, но и вокруг браузера, профилей, менеджеров паролей и прав на запуск файлов.

Для тех, кто часто работает вне дома или подключается к чужим сетям, имеет смысл заранее продумать сетевой слой защиты. Например, надёжное шифрование трафика для поездок и аккуратная настройка устройств перед выходом из дома снижают шанс, что вредоносный файл доберётся до кошелька через случайное подключение или подменённый ресурс.

Практические выводы и чек-лист

  • Скачивайте софт только с официальных сайтов и проверяйте, кто владелец репозитория или страницы загрузки.
  • Не запускайте команды из чатов, писем и чужих инструкций без полной проверки.
  • Никогда не вводите seed-фразу на страницах, которые сами открылись после запуска программы.
  • Держите криптокошелёк на отдельном устройстве или хотя бы в отдельном профиле браузера.
  • Проверьте, какие расширения стоят в браузере, и удалите всё лишнее.
  • Отключите автозапуск подозрительных скриптов и внимательно следите за PowerShell-операциями.
  • Обновите пароли к почте, браузерным аккаунтам и сервисам, если есть шанс на заражение.
  • Включите многофакторную защиту там, где это возможно, и храните резервные коды отдельно.
  • Если вы используете аппаратный кошелёк, убедитесь, что экран и адреса транзакций проверяете вручную.
  • Перед поездками и работой вне офиса заранее проверьте устройство и используйте [дополнительный слой шифрования для ноутбука] (https://freedome.space) как один из элементов личной гигиены безопасности.
Поделиться: