Kaspersky выявила вредоносный фреймворк OkoBot для кражи криптоактивов

Kaspersky выявила вредоносный фреймворк OkoBot для кражи криптоактивов

«Лаборатория Касперского» выявила новый вредоносный фреймворк OkoBot, ориентированный на кражу криптоактивов у инвесторов. По данным компании, атаки с использованием этого ПО фиксируются с января 2026 года.

OkoBot распространяется через социальную инженерию — в частности, через технику ClickFix, заставляющую пользователей выполнять вредоносные команды, а также через троянизированные приложения на GitHub. После заражения зловред получает удалённый доступ к устройству.

Вредонос способен собирать файлы криптокошельков, данные браузеров и учётные записи пользователей. Кроме того, он может внедрять вредоносные расширения и перехватывать окна приложений кошельков, что позволяет похищать активы.

Как отмечают в Kaspersky, OkoBot является развитием предыдущей кампании TookPS (2025 год), которая распространяла троян через поддельные сайты. Новый фреймворк использует SSH-туннель для координации до 20 вредоносных нагрузок, что усложняет его обнаружение.

Одновременно специалисты по безопасности SlowMist сообщили об отдельной кампании, нацеленной на Web3-разработчиков. Злоумышленники через LinkedIn выдают себя за рекрутеров и предлагают протестировать GitHub-репозиторий якобы для подготовки к собеседованию.

После запуска указанного репозитория на устройство жертвы устанавливается удалённый троян (RAT), позволяющий похищать ключи проектов, облачные учётные данные и данные расширений кошельков. SlowMist подчёркивает, что подобные атаки не единичны и злоумышленники всё чаще используют сценарии собеседований и код-ревью.

Обе кампании демонстрируют растущую угрозу социальной инженерии в криптосообществе. Пользователям рекомендуется проверять источники ссылок и не запускать подозрительный код даже в рамках «технических собеседований».