18 июля 2026 года команда Kaspersky Global Research and Analysis Team (GReAT) опубликовала полный отчёт о вредоносном фреймворке OkoBot. Первые атаки с участием ранее неизвестного вредоноса были зафиксированы в январе 2026 года, однако компонент-загрузчик TookPS, являющийся основой фреймворка, активен с марта 2025 года.
Фреймворк состоит из более чем 20 вредоносных компонентов, способных красть криптовалютные кошельки, перехватывать учётные данные, записывать видео, загружать вредоносные браузерные расширения и выполнять удалённые команды.
По словам Дмитрия Галова, руководителя российского и СНГ-подразделения Kaspersky GReAT, кампания активна по состоянию на июль 2026 года, а её инфраструктура продолжает развиваться, что указывает на активную поддержку фреймворка операторами.
ИИ Claude Opus 4.7 научился управлять роботом
Как OkoBot попадает на устройство
Два основных вектора заражения.
ClickFix - социальная инженерия через терминал
Атакующие используют технику ClickFix: пользователей убеждают скопировать и запустить вредоносный код в терминале под предлогом исправления неожиданной ошибки браузера. Жертва сама запускает заражение, считая, что исправляет техническую проблему.
Фейковые репозитории на GitHub
В одном задокументированном случае злоумышленники создали поддельный репозиторий Microsoft SQL Server Management Studio, который занимал высокие позиции в результатах поиска. Кампания с этим репозиторием работала с конца марта 2025 по июнь. Под видом SSMS распространялась версия аудиоредактора Audacity с трояном, встроенным в одну из его библиотек.
Цепочка заражения после запуска
После выполнения TookPS на устройстве происходит следующее: устанавливается SSH, открывается соединение с сервером злоумышленников, порт SSH-демона перенаправляется и система ожидает подключения. Затем автоматический SSH-бот подключается через туннель, инвентаризирует систему вплоть до установленного антивируса, извлекает файлы кошельков, cookies, профили браузеров и учётные данные через туннель.
SSH-бот также отключает уведомления Windows Defender.
Четыре ключевых модуля вируса
SeedHunter - главная угроза для владельцев аппаратных кошельков
SeedHunter отслеживает активные системные процессы и внедряет имплант в Trezor Suite, Ledger Wallet и Ledger Live. При обнаружении подключённого аппаратного кошелька он перехватывает функции и отображает жёстко закодированную фишинговую страницу для кражи seed-фразы — с отдельным макетом для каждого типа кошелька.
Когда жертва вводит seed-фразу, SeedHunter проверяет её и отправляет в JSON-пакете, содержащем тип кошелька, информацию об устройстве, аппаратные идентификаторы и восстановленную фразу. Вредонос также сохраняет зашифрованную RC4-копию во временной директории, используя HWID жертвы в качестве ключа шифрования.
Как отличить поддельный экран от настоящего: Ledger никогда не отправляет данные за пределы самого устройства, Trezor Suite никогда не просит вводить резервную копию. Если страница с запросом seed-фразы появилась после подключения устройства, но на экране самого устройства ничего не отображается — это признак атаки.
ext daemon/extl.exe - скрытое расширение Chrome
Модуль внедряется в браузеры Chrome для незаметной установки и сокрытия расширения Rilide, нацеленного на сбор учётных данных, cookie-файлов, финансовой информации и данных криптовалютных кошельков.
MC Keylogger - клавиатурный шпион
Записывает нажатия клавиш и активность буфера обмена, включая скопированные тексты, изображения и пути к файлам. Отслеживает USB-соединения и делает снимки экрана каждые пять минут.
OkoSpyware - видеозапись окон кошельков
Записывает нажатия клавиш и видеопотоки в формате MP4 из окон кошельков, менеджеров паролей и браузерных расширений кошельков. Собранные данные отправляются на конечную точку ir-post.php, после чего локальные файлы и история PowerShell удаляются.
Кто под угрозой
Кампания скомпрометировала сотни жертв более чем в 25 странах. Наибольшее число пострадавших зафиксировано в Бразилии, Вьетнаме, Канаде, Мексике и Турции.
В этой кампании злоумышленники целенаправленно атакуют IT-специалистов и разработчиков программного обеспечения. Это объясняет выбор маскировки: инструменты разработчика (SSMS, Audacity) — именно то, что скачивают технические специалисты.
Серверы с PowerShell-скриптами для начального этапа атаки заблокированы для IP-адресов из России и стран СНГ.
По данным Kaspersky, код и техники OkoBot указывают на возможную связь с русскоязычными киберпреступниками.
Три правила защиты от Kaspersky
Эксперты дают три рекомендации: никогда не вводить seed-фразы с клавиатуры компьютера, не запускать сторонние скрипты из неизвестных источников в интернете, регулярно проверять наличие скрытых RDP-соединений на личных устройствах.
Дополнительно: скачивать программное обеспечение только с официальных сайтов, не из репозиториев GitHub. Проверять, отображается ли запрос seed-фразы одновременно на экране самого аппаратного кошелька — если нет, это фишинг.
FAQ
1. Что такое seed-фраза и почему её кража критична?
Seed-фраза (12 или 24 слова) — единственный способ восстановить доступ к криптокошельку. Кто владеет seed-фразой, тот контролирует все активы. После кражи фразы злоумышленник переводит средства на свои адреса — вернуть их практически невозможно.
2. Как SeedHunter обманывает пользователей Ledger и Trezor?
Внедряется в официальные приложения (Trezor Suite, Ledger Live) и подменяет интерфейс — показывает поддельный экран восстановления seed-фразы, идентичный настоящему. Ключевой признак атаки: запрос появился на экране компьютера, но на экране самого устройства — ничего.
3. Могут ли пострадать пользователи из России?
Серверы с загрузчиком заблокированы для российских и СНГ-адресов. Однако это не гарантия защиты при использовании VPN.
4. OkoBot атакует только аппаратные кошельки?
Нет. Фреймворк атакует программные кошельки, браузерные расширения, менеджеры паролей и любые приложения, связанные с криптовалютой. Аппаратные кошельки — лишь одна из целей через модуль SeedHunter.
Вопрос к читателям: Какими методами защиты пользуетесь вы? Используете ли аппаратные кошельки или отдельное устройство под операции с криптовалютами? Напишите в комментариях
Комментарии
Комментариев пока нет. Будьте первым!