Kaspersky обнаружили OkoBot: новый вредоносный фреймворк с 20 инструментами для кражи сид-фраз
Исследователи Kaspersky выявили OkoBot — комплексное вредоносное ПО, объединяющее более 20 инструментов для кражи учетных данных и доступа к криптовалютным кошелькам.
Глобальная группа исследований и анализа (GReAT) компании Kaspersky обнаружила вредоносный фреймворк OkoBot, действующий на системах Windows с апреля 2025 года. Исследователи зафиксировали активную фазу атак в январе 2026 года.
Особенность OkoBot заключается в том, что это не просто отдельный вирус, а платформа, способная доставлять более 20 различных вредоносных модулей. Они нацелены на кражу учетных данных, финансовой информации и, прежде всего, сид-фраз (фраз восстановления) от криптокошельков.
Основные каналы распространения включают атаки типа «ClickFix», обманом заставляющие пользователей запускать вредоносный код, а также фальшивые репозитории на GitHub. Злоумышленники маскируют вредоносное ПО под легитимное программное обеспечение, например, под установщик SQL Server Management Studio (SSMS) от Microsoft.
Одним из самых опасных компонентов является модуль «SeedHunter». Он отслеживает запуск популярных приложений, таких как Trezor Suite, Ledger Wallet или Ledger Live. При их обнаружении модуль внедряется в процесс и показывает пользователю реалистичное фишинговое окно, адаптированное под дизайн конкретного кошелька, чтобы выманить сид-фразу.
На данный момент зафиксированы сотни жертв в 25 странах, наиболее пострадали Бразилия, Вьетнам, Канада, Мексика и Турция. Личности создателей OkoBot пока не установлены.
Хотя в топ пострадавших стран Таиланд пока не входит, тактика использования фальшивого ПО представляет серьезную угрозу для любого пользователя. Учитывая популярность криптовалют в регионе, пользователям следует с особой осторожностью относиться к загрузке программ из непроверенных источников.