Kaspersky выявила вредоносный фреймворк OkoBot для кражи криптоактивов

«Лаборатория Касперского» выявила новый вредоносный фреймворк OkoBot, ориентированный на кражу криптоактивов у инвесторов. По данным компании, атаки с использованием этого ПО фиксируются с января 2026 года.
OkoBot распространяется через социальную инженерию — в частности, через технику ClickFix, заставляющую пользователей выполнять вредоносные команды, а также через троянизированные приложения на GitHub. После заражения зловред получает удалённый доступ к устройству.
Вредонос способен собирать файлы криптокошельков, данные браузеров и учётные записи пользователей. Кроме того, он может внедрять вредоносные расширения и перехватывать окна приложений кошельков, что позволяет похищать активы.
Как отмечают в Kaspersky, OkoBot является развитием предыдущей кампании TookPS (2025 год), которая распространяла троян через поддельные сайты. Новый фреймворк использует SSH-туннель для координации до 20 вредоносных нагрузок, что усложняет его обнаружение.
Одновременно специалисты по безопасности SlowMist сообщили об отдельной кампании, нацеленной на Web3-разработчиков. Злоумышленники через LinkedIn выдают себя за рекрутеров и предлагают протестировать GitHub-репозиторий якобы для подготовки к собеседованию.
После запуска указанного репозитория на устройство жертвы устанавливается удалённый троян (RAT), позволяющий похищать ключи проектов, облачные учётные данные и данные расширений кошельков. SlowMist подчёркивает, что подобные атаки не единичны и злоумышленники всё чаще используют сценарии собеседований и код-ревью.
Обе кампании демонстрируют растущую угрозу социальной инженерии в криптосообществе. Пользователям рекомендуется проверять источники ссылок и не запускать подозрительный код даже в рамках «технических собеседований».
.






ФинБи