Аналитики «Лаборатории Касперского» обнаружили OkoBot — вредоносную платформу, которая охотится за данными владельцев криптокошельков. Кампания идёт с весны 2025 года, а в фокусе у злоумышленников — не только программные, но и аппаратные кошельки.
Сценарий знакомый и потому особенно опасный: человек ищет полезный софт, запускает установщик, а дальше цепочка заражения уже идёт без его участия. OkoBot умеет подменять экран, перехватывать ввод, красть файлы и незаметно подтягивать дополнительные модули. Это не одиночный стилер, а целый набор инструментов для кражи денег и доступа.
История инцидента
По данным исследователей, операторы OkoBot использовали два основных пути заражения. Первый — ClickFix, когда жертву убеждают самой вставить и запустить вредоносную команду. Второй — поддельный софт, который размещали на GitHub и выдавали за полезную программу.
Отдельно выделился фальшивый установщик SQL Server Management Studio. Вместо нужного продукта пользователь получал другой пакет, а в одной из библиотек уже сидела малварь. Такой трюк особенно коварен: поисковик показывает репозиторий высоко, название выглядит правдоподобно, и человек не видит повода для сомнений.
После запуска цепочка доходит до PowerShell-скрипта TookPS. Он ставит SSH, создаёт туннель до инфраструктуры злоумышленников и открывает доступ для бота, который собирает сведения о системе, профили браузеров, cookie, файлы криптокошельков и учётные данные.
Что пошло не так в защите
Главная проблема здесь не в одной уязвимости, а в комбинации доверия и невнимательности. Пользователь видит знакомое название, скачивает установщик и не проверяет, откуда именно пришёл файл и кто его собрал.
Вторая слабая точка — запуск команд и скриптов без понимания последствий. Механика ClickFix работает именно на этом: человек сам выполняет действия, которые обычно требовали бы вмешательства злоумышленника.
Третья проблема — отсутствие разделения между рабочими задачами и хранением ключевых активов. OkoBot ищет не только seed-фразы, но и данные браузера, менеджеры паролей, расширения и окна приложений. Если на одном компьютере у вас и работа, и кошелёк, и входы в сервисы, атакующему легче добраться до всего сразу.
Исследователи отдельно описали модуль SeedHunter. Он отслеживает запуск приложений для аппаратных кошельков, проверяет, подключено ли устройство, и показывает фишинговую страницу восстановления под стиль нужной программы. Здесь уже не помогает «осторожность в целом» — нужна привычка проверять адреса, подписи и контекст каждого запроса на ввод seed-фразы.
Уроки для читателя
OkoBot снова напоминает простую вещь: опасность часто приходит не через «дырку» в системе, а через доверие к чужому файлу. Поддельные установщики, расширения и инструкции под копирку — это классика, которая по-прежнему работает.
Если вы храните цифровые активы, держите отдельный рабочий профиль, не ставьте софт из сомнительных источников и не вводите seed-фразу вне штатной процедуры восстановления. Для базовой гигиены полезно ещё раз пересмотреть разбор поддельных установщиков и статью о том, как утечка в GitHub учит обращаться с секретами.
Отдельный риск — браузерные расширения. OkoBot умеет скрытно ставить дополнительные модули в Chromium-браузерах и подсовывать вредоносные надстройки. Это значит, что защиту нужно строить не только вокруг кошелька, но и вокруг браузера, профилей, менеджеров паролей и прав на запуск файлов.
Для тех, кто часто работает вне дома или подключается к чужим сетям, имеет смысл заранее продумать сетевой слой защиты. Например, надёжное шифрование трафика для поездок и аккуратная настройка устройств перед выходом из дома снижают шанс, что вредоносный файл доберётся до кошелька через случайное подключение или подменённый ресурс.
Практические выводы и чек-лист
- Скачивайте софт только с официальных сайтов и проверяйте, кто владелец репозитория или страницы загрузки.
- Не запускайте команды из чатов, писем и чужих инструкций без полной проверки.
- Никогда не вводите seed-фразу на страницах, которые сами открылись после запуска программы.
- Держите криптокошелёк на отдельном устройстве или хотя бы в отдельном профиле браузера.
- Проверьте, какие расширения стоят в браузере, и удалите всё лишнее.
- Отключите автозапуск подозрительных скриптов и внимательно следите за PowerShell-операциями.
- Обновите пароли к почте, браузерным аккаунтам и сервисам, если есть шанс на заражение.
- Включите многофакторную защиту там, где это возможно, и храните резервные коды отдельно.
- Если вы используете аппаратный кошелёк, убедитесь, что экран и адреса транзакций проверяете вручную.
- Перед поездками и работой вне офиса заранее проверьте устройство и используйте [дополнительный слой шифрования для ноутбука] (https://freedome.space) как один из элементов личной гигиены безопасности.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.