OkoBot: криптостилер атакует владельцев кошельков Ledger и Trezor

📋 Кратко

Эксперты Kaspersky GReAT обнаружили вредоносный фреймворк OkoBot, активный с апреля 2025 года. Он нацелен на владельцев аппаратных криптокошельков Ledger и Trezor. Фреймворк включает более 20 модулей: SeedHunter (перехват seed-фраз), OkoSpyware (кейлоггинг) и TookPS (кража сид-фраз). Заражение — через ClickFix-атаки и поддельные установщики на GitHub. Кампания продолжается, затронуты сотни пользователей в 25 странах.

⏱ 6 минут чтениясложность

В начале 2026 года эксперты Kaspersky Global Research and Analysis Team (GReAT) зафиксировали серию атак с использованием ранее неизвестного вредоносного фреймворка, получившего название OkoBot. Этот инструмент представляет собой принципиально новую угрозу для владельцев криптовалютных кошельков — как программных, так и аппаратных устройств вроде Ledger и Trezor. В отличие от типичных стилеров, OkoBot действует изощрённо: он не просто собирает файлы с диска, а внедряет фишинговые страницы прямо в легитимные приложения кошельков, перехватывая их интерфейс на уровне оперативной памяти браузера.

С апреля 2025 года фреймворк прошёл несколько этапов развития и на момент публикации отчёта Kaspersky в июле 2026 года остаётся активным. Исследователи насчитали сотни пострадавших в более чем 25 странах, причём наибольшее число атак пришлось на Бразилию, Вьетнам, Канаду, Мексику и Турцию. Телеметрия Kaspersky показывает, что OkoBot продолжает эволюционировать, а его распространители активно ищут новые способы доставки.

Модульный фреймворк OkoBot в киберпространстве
Модульный фреймворк OkoBot в киберпространстве

🎯 Обзор фреймворка OkoBot

OkoBot — это модульный вредоносный фреймворк, построенный по принципу «командно-контрольного центра» с возможностью загрузки и исполнения более 20 различных модулей. Каждый модуль отвечает за определённую задачу: от сбора файлов до перехвата видеопотока с экрана жертвы. Исследователи Kaspersky GReAT обнаружили фреймворк в январе 2026 года, однако косвенные признаки указывают на то, что его разработка началась не позднее апреля 2025 года.

Атака ClickFix через поддельную проверку CAPTCHA
Атака ClickFix через поддельную проверку CAPTCHA

Ключевое отличие OkoBot от массовых стилеров — высокая степень нацеленности. Вместо того чтобы атаковать всех подряд, фреймворк выборочно отслеживает запуск приложений для управления криптовалютами и активирует свои модули только при обнаружении целевого ПО. Такой подход делает его менее заметным для традиционных средств антивирусной защиты, которые настроены на поиск универсальных сигнатур.

⚠ Ключевая статистика: По данным Kaspersky GReAT, фреймворк OkoBot активен с апреля 2025 года, содержит 20+ вредоносных модулей и поразил сотни пользователей в 25+ странах. Кампания продолжается как минимум до июля 2026 года. Наибольшее число атак зафиксировано в Бразилии, Вьетнаме, Канаде, Мексике и Турции.

🔍 Векторы заражения: ClickFix и поддельное ПО

Исследователи Kaspersky выявили два основных пути распространения OkoBot. Первый — атаки ClickFix, при которых злоумышленники используют методы социальной инженерии, чтобы убедить жертву выполнить вредоносный код. В типичном сценарии пользователю демонстрируется поддельная страница CAPTCHA или сообщение об ошибке браузера с инструкцией скопировать команду в терминал. Жертва, думая, что проходит проверку, на самом деле запускает на своей системе загрузчик OkoBot.

SeedHunter перехватывает сид-фразу аппаратного кошелька
SeedHunter перехватывает сид-фразу аппаратного кошелька

Второй вектор — распространение вредоносных установщиков через GitHub под видом легитимного программного обеспечения. Один из выявленных примеров — поддельный установщик SQL Server Management Studio (SSMS), популярного инструмента Microsoft для управления базами данных. Разработчики, которые часто скачивают такие инструменты, становятся приоритетной целью, что подтверждается комментарием Дмитрия Галова, руководителя подразделения GReAT в России и СНГ: «Наблюдаемые векторы заражения убедительно свидетельствуют о том, что разработчики входят в число основных целей кампании».

⚠ Важный вывод: Разработчики — основная целевая аудитория OkoBot. Злоумышленники распространяют троянизированные установщики инструментов для разработки через GitHub, рассчитывая, что ИТ-специалисты с большей вероятностью будут владеть криптовалютами и аппаратными кошельками.

🛠️ Ключевые модули OkoBot

Фреймворк содержит более 20 различных модулей и имплантов, выполняющих широкий спектр задач. Рассмотрим наиболее важные из них.

Внедрение вредоносного кода в память браузера
Внедрение вредоносного кода в память браузера

SeedHunter — кража seed-фраз из аппаратных кошельков

SeedHunter — один из самых опасных модулей OkoBot. Он отслеживает активные системные процессы и при обнаружении приложений Trezor Suite, Ledger Wallet или Ledger Live внедряет в них свою вредоносную логику. Когда пользователь подключает аппаратный кошелёк к компьютеру, SeedHunter перехватывает вызовы функций и отображает поддельную страницу, имитирующую интерфейс восстановления seed-фразы. Страница выглядит как официальный запрос от программы-кошелька — пользователь не подозревает, что вводит сид-фразу не в родное приложение, а в фишинговую форму, которая отправляет данные злоумышленникам.

OkoSpyware — кейлоггинг и захват видео

OkoSpyware — новый модуль, выполняющий сразу две функции. Во-первых, он регистрирует нажатия клавиш (кейлоггинг), что позволяет перехватывать пароли, сид-фразы, вводимые вручную, и любые другие конфиденциальные данные. Во-вторых, модуль способен захватывать видеопоток окна целевого приложения, записывая всё, что происходит на экране пользователя во время работы с кошельком или криптовалютной биржей.

TookPS — эксфильтрация seed-фраз

Модуль TookPS специализируется на извлечении seed-фраз из системной памяти и файлов конфигурации криптокошельков. Он применяет несколько техник для обхода механизмов защиты, включая прямое чтение памяти процессов и поиск файлов с сид-фразами на диске.

Rilide stealer и SSH-бот

Помимо уникальных модулей, OkoBot использует известный стилер Rilide для кражи учётных данных браузеров, cookies и данных автозаполнения. Отдельный SSH-бот-модуль собирает системную информацию (имя пользователя, версию ОС, установленный антивирус, IP-адрес) и способен отключать защитные механизмы Windows для закрепления в системе.

🧬 Техника внедрения в память браузера

Одна из наиболее продвинутых техник OkoBot — загрузчик, модифицирующий память браузера для загрузки и сокрытия вредоносных расширений. Вместо того чтобы устанавливать расширение через официальный магазин Chrome (что оставляет следы в истории браузера), OkoBot внедряет его код непосредственно в адресное пространство процессов Chromium. Расширение не отображается в списке установленных, не видно в менеджере расширений и не может быть обнаружено стандартными средствами проверки браузера.

География атак OkoBot: 25 стран под ударом
География атак OkoBot: 25 стран под ударом

Это особенно опасно для пользователей, которые полагаются на расширения для безопасности (например, менеджеры паролей или антифишинговые сканеры). Вредоносное расширение может перехватывать трафик криптовалютных бирж, подменять адреса кошельков в отправляемых транзакциях и незаметно перенаправлять средства.

🌍 География атак и атрибуция

По данным телеметрии Kaspersky, атаки OkoBot затронули пользователей в более чем 25 странах. Пятёрка стран с наибольшим числом зафиксированных инцидентов:

Многоуровневая защита от криптостилеров
Многоуровневая защита от криптостилеров
  • Бразилия — лидер по числу атакованных пользователей
  • Вьетнам — второе место по объёму атак
  • Канада — третье место
  • Мексика — четвёртое место
  • Турция — замыкает пятёрку

Что касается атрибуции, исследователи пока не могут с высокой уверенностью отнести кампанию к какой-либо известной группировке. Однако используемые техники и стилер Rilide широко применяются русскоязычными киберпреступниками. Кроме того, технический анализ выявил фрагменты кода с комментариями на русском языке, что указывает на возможную связь с русскоязычной киберпреступной средой.

🛡️ Методы защиты от OkoBot и аналогичных угроз

Защита от такого сложного фреймворка, как OkoBot, требует многоуровневого подхода. Эксперты Kaspersky GReAT рекомендуют следующие меры:

  1. Проверяйте источник загружаемого ПО. Скачивайте программы только с официальных сайтов разработчиков. Проявляйте особую осторожность при установке инструментов, найденных на GitHub, — проверяйте рейтинг репозитория, количество звёзд и историю коммитов.
  2. Не выполняйте команды из непроверенных источников. Если сайт предлагает скопировать текст в терминал для «подтверждения личности» или «прохождения проверки CAPTCHA» — это почти наверняка атака ClickFix. Закрывайте страницу и блокируйте домен.
  3. Используйте комплексные средства защиты. Традиционные антивирусы могут пропустить безфайловые атаки OkoBot. Предпочтение стоит отдавать решениям класса EDR (Endpoint Detection and Response) с поведенческим анализом.
  4. Не храните seed-фразы в цифровом виде. Сид-фраза аппаратного кошелька должна быть записана на бумаге и храниться в сейфе. Любое цифровое хранение (фото, текстовый файл, облако) повышает риск кражи.
  5. Используйте отдельное устройство для криптовалютных операций. Для работы с крупными суммами рассмотрите использование выделенного компьютера или безопасной операционной системы (например, Tails) без доступа к обычным сайтам.
  6. Обновляйте ПО кошельков и операционную систему. Разработчики Ledger и Trezor регулярно выпускают обновления безопасности. Устанавливайте их сразу после выхода, чтобы снизить риск эксплуатации известных уязвимостей.

📚 Читайте также

📖 Термины

ClickFix · Seed-фраза · Аппаратный кошелёк · Криптостилер · Фишинг

🔗 Источники