OkoBot malware framework

Editors' Pick

A Kaspersky GReAT kutatói az OkoBot moduláris malware-t vizsgálták, amely elsősorban kriptovaluta-felhasználókat támad. A kampány legalább 2025 óta aktív, több mint 25 országban több száz áldozatot ért el, legnagyobb számban Brazíliában, Vietnámban, Kanadában, Mexikóban és Törökországban. A fertőzés jellemzően két úton indul, ClickFix pszichológiai megtévesztéssel, illetve hamis GitHub-repokból letölthető, legitim alkalmazásoknak álcázott telepítőkkel – például egy SQL Server Management Studio telepítőnek álcázott, módosított Audacity csomaggal. A kezdeti hozzáférést a TookPS PowerShell-alapú komponens biztosítja, amely SSH-hozzáférést épít ki a fertőzött géphez, majd letölti az OkoBot további moduljait.

A keretrendszer több mint húsz különböző modult tartalmaz, amelyek igény szerint tölthetők be. Képes böngészőkben tárolt hitelesítő adatok, kriptotárcák, seed phrase-ek és helyi fájlok ellopására, távoli parancsok végrehajtására, további böngészőkiegészítők telepítésére, valamint képernyő- és billentyűzetfigyelésre. A kutatók egy új OkoSpyware modult is azonosítottak, amely a Chromium-alapú böngészőkben megnyitott kriptotárcák ablakait figyeli, naplózza a billentyűleütéseket, és rögzíti az alkalmazás videókimenetét, miközben egy memóriamódosító komponens rejtve tölti be a rosszindulatú böngészőbővítményeket. Az OkoBot emellett más kártevőket – például a Rilide stealert – is képes telepíteni, így nem egyetlen malware-ről, hanem egy teljes támadási platformról beszélhetünk. A Kaspersky szerint a legújabb verziók már egyszerűbb, közvetlenebb fertőzési láncot alkalmaznak, ami arra utal, hogy a fejlesztők folyamatosan finomítják a keretrendszert. Bár a kampány egyelőre nem köthető nagy bizonyossággal ismert csoporthoz, több technikai jel – köztük orosz nyelvű kódrészletek és az alkalmazott eszközök – orosz nyelvű kiberbűnözői körökre utal.

FORRÁS