Kaspersky виявила новий шкідливий фреймворк, націлений на інвесторів у криптовалюту, йдеться в повідомленні в середу. Названий OkoBot, він ініціює ланцюжки зараження за допомогою тактик соціальної інженерії, зокрема ClickFix, і троянізованих застосунків для GitHub, які доставляють бекдори на заражені пристрої. Kaspersky зафіксувала кілька атак із використанням цього сімейства шкідливих програм починаючи із січня 2026 року. Шкідлива програма еволюціонувала з TookPS — кампанії, яку вперше виявили у 2025 році; тоді вона поширювала троян-завантажувач через фальшиві вебсайти програм. Окремо SlowMist у повідомленні в суботу розповіла, що шкідлива кампанія націлюється на розробників Web3 через фальшиві можливості працевлаштування в LinkedIn, доставляючи бекдори віддаленого доступу через зловмисні репозиторії GitHub, видані за матеріали для технічного співбесідування.
Фреймворк OkoBot вилучає файли гаманців через SSH-архітектуру тунелю
Шкідлива програма OkoBot може вилучати файли криптовалютних гаманців, дані браузера та облікові дані користувачів, інжектити зловмисні розширення й перехоплювати вікна застосунків гаманця, щоб викрадати активи, як написала Kaspersky у звіті. Фреймворк відрізняється від попередніх кампаній тим, що координує всі 20 зловмисних корисних навантажень через SSH-тунель, який дає змогу віддалено передавати дані з заражених комп’ютерів на віддалені машини, контрольовані атакувальниками. Kaspersky додала, що фреймворк шкідливої програми відкриває двері для атак-підробок.
Фальшиві вербувальники в LinkedIn доставляють трояни через репозиторії GitHub
Атакувальники контактують із розробниками блокчейну через LinkedIn, видаючи себе за рекрутерів Web3, повідомила SlowMist. Вони надсилають жертвам фальшиві репозиторії GitHub, стверджуючи, що там містився мінімально життєздатний продукт, який треба було випробувати перед інтерв’ю, заявила компанія з безпеки блокчейну у звіті в суботу. Робочий процес дуже схожий на легітимну технічну співбесіду, де розробники отримують код, встановлюють залежності й запускають проєкт, що ускладнює помітити атаку. Шкідлива програма націлена на доставку повного трояна віддаленого доступу, який інфікує пристрої, даючи атакувальникам змогу викрадати ключі проєктів, облікові дані для хмари або дані розширення гаманця в цих розробників.
SlowMist пов’язує атаку з ширшою кампанією проти розробників
SlowMist написала, що це не поодинокий випадок, додавши: нещодавні інциденти показують, що атакувальники дедалі більше використовують сценарії на кшталт вербування, code review та співпраці над проєктами, щоб обманювати розробників і змушувати їх активно запускати зловмисні репозиторії. Звіт вийшов за день після того, як SlowMist попередила про окрему кампанію шкідливих програм, націлену на користувачів macOS: вона прагнула вкрасти їхні облікові дані та викрадати сесії Telegram, щоб зрештою обманути інвесторів у введенні фраз відновлення гаманця через фальшиві вебсайти.
Поширені запитання
Що таке шкідлива програма OkoBot і коли її виявили?
OkoBot — це фреймворк шкідливих програм, націлений на інвесторів у криптовалюту, який Kaspersky виявила у повідомленні в середу. Kaspersky зафіксувала кілька атак із використанням цього сімейства шкідливих програм починаючи із січня 2026 року. Шкідлива програма ініціює ланцюжки зараження за допомогою тактик соціальної інженерії, зокрема ClickFix, і троянізованих застосунків для GitHub.
Як фальшива кампанія вербування в LinkedIn націлюється на розробників Web3?
Атакувальники контактують із розробниками блокчейну через LinkedIn, видаючи себе за рекрутерів Web3, згідно зі звітом SlowMist у суботу. Вони надсилають жертвам фальшиві репозиторії GitHub, стверджуючи, що там містився мінімально життєздатний продукт, який треба було випробувати перед інтерв’ю. Робочий процес нагадує легітимну технічну співбесіду, тому атаку важко помітити.
Які дані шкідлива програма OkoBot викрадає з заражених пристроїв?
Шкідлива програма OkoBot може вилучати файли криптовалютних гаманців, дані браузера та облікові дані користувачів, інжектити зловмисні розширення й перехоплювати вікна застосунків гаманця, щоб викрадати активи, як повідомила Kaspersky. Фреймворк координує всі 20 зловмисних корисних навантажень через SSH-тунель, даючи змогу віддалено передавати дані з заражених комп’ютерів на машини, контрольовані атакувальниками.