ჰაკერები კრიპტო საფულეების Seed Phrase-ებს იპარავენ

Rate this post

Kaspersky: ახალი OkoBot კრიპტოვალუტის მომხმარებლების Seed Phrase-ებსა და საფულეების მონაცემებს იპარავს

კიბერუსაფრთხოების კომპანია Kaspersky-ის სპეციალისტებმა ახალი, მაღალტექნოლოგიური მავნე პროგრამა OkoBot გამოავლინეს, რომელიც სპეციალურად კრიპტოვალუტის მომხმარებლების წინააღმდეგ არის შექმნილი. მკვლევრების ინფორმაციით, პლატფორმა მოიცავს 20-ზე მეტ მავნე მოდულს, რომლებიც კრიპტო საფულეების Seed Phrase-ების, ანგარიშების მონაცემებისა და სხვა კონფიდენციალური ინფორმაციის მოპარვაზეა ორიენტირებული.

OkoBot-ის გავრცელებისთვის თავდამსხმელები იყენებენ ClickFix-ის სახელით ცნობილ სოციალური ინჟინერიის მეთოდს, რომლის დროსაც მომხმარებელს ატყუებენ და აიძულებენ თავად გაუშვას მავნე PowerShell ბრძანება საკუთარ კომპიუტერზე.

გარდა ამისა, მავნე პროგრამა ვრცელდება ყალბი GitHub რეპოზიტორიების მეშვეობითაც. ერთ-ერთ შემთხვევაში, მომხმარებლებს Microsoft SQL Server Management Studio (SSMS)-ის ნაცვლად გადმოსაწერად სთავაზობდნენ Trojan-ით ინფიცირებულ Audacity-ის ვერსიას.

როგორ მუშაობს OkoBot?

Kaspersky-ის ინფორმაციით, OkoBot უკვე ერთ წელზე მეტია აქტიურია და თავდასხმას TookPS PowerShell სკრიპტით იწყებს. პირველ ეტაპზე ხდება SSH-ბოტის ინსტალაცია, რომელიც აგროვებს ინფორმაციას მოწყობილობის შესახებ, მათ შორის:

  • მომხმარებლის სახელს;
  • IP მისამართს;
  • ოპერაციული სისტემის ვერსიას;
  • ანტივირუსის მონაცემებს;
  • Windows Defender-ის შეტყობინებების გამორთვას.

ამის შემდეგ მავნე პროგრამა იპარავს:

  • კრიპტო საფულეების მონაცემებს;
  • ბრაუზერის Cookie-ებს;
  • შენახულ პაროლებს;
  • ავტორიზაციის მონაცემებს.

ყველაზე საშიში მოდულები

Kaspersky-მ OkoBot-ის რამდენიმე განსაკუთრებით სახიფათო კომპონენტი გამოყო:

  • SeedHunter — თავს ესხმის Trezor Suite, Ledger Wallet და Ledger Live აპლიკაციებს და მომხმარებელს ყალბ Seed Phrase-ის აღდგენის ფანჯარას უჩვენებს.
  • MC Keylogger — იწერს კლავიატურის ყველა მოქმედებას, Clipboard-ის მონაცემებს, USB მოწყობილობების გამოყენებას და ყოველ ხუთ წუთში ეკრანის სურათებს იღებს.
  • OkoSpyware — აკვირდება კრიპტო საფულეების პაროლებს, იწერს ეკრანის ვიდეოს FFmpeg-ის გამოყენებით და აფიქსირებს ყველა კლავიშის დაჭერას.
  • ext daemon — Chromium-ზე დაფუძნებულ ბრაუზერებში ფარულად აყენებს Rilide-ის მავნე გაფართოებას, რომელიც კრიპტო და საბანკო მონაცემების მოპარვაზეა ორიენტირებული.

რატომ არის Seed Phrase-ის მოპარვა განსაკუთრებით საშიში?

Seed Phrase წარმოადგენს კრიპტო საფულის აღდგენის მთავარ გასაღებს. თუ თავდამსხმელი მას მოიპოვებს, შეუძლია სრულად გააკონტროლოს საფულე და ყველა კრიპტოაქტივი საკუთარ მისამართზე გადაიტანოს.

ასეთ შემთხვევებში მოპარული კრიპტოვალუტის დაბრუნება პრაქტიკულად შეუძლებელია.

რომელი ქვეყნები დაზარალდნენ?

Kaspersky-ის ცნობით, ყველაზე მეტი მსხვერპლი დაფიქსირდა:

  • 🇧🇷 ბრაზილიაში
  • 🇻🇳 ვიეტნამში
  • 🇨🇦 კანადაში
  • 🇲🇽 მექსიკაში
  • 🇹🇷 თურქეთში

ამ ეტაპზე მოპარული კრიპტოვალუტის ზუსტი მოცულობა უცნობია. მკვლევრებმა ასევე დაადგინეს, რომ თავდამსხმელების ინფრასტრუქტურა რუსეთისა და დსთ-ის ქვეყნების IP მისამართებს ბლოკავს, რაც კამპანიის თავისებურებას წარმოადგენს.


წყარო: Kaspersky Securelist / Kaspersky GReAT Research.

კომენტარები
სიახლეების გამოწერა

ავტორი

  • 2017 წლიდან ვმუშაობ კრიპტოვალუტებისა და ბლოკჩეინის ინდუსტრიაში. ვაშუქებ ბაზრის მნიშვნელოვან მოვლენებს, ბიტკოინისა და ალტკოინების ტენდენციებს, DeFi-ს, NFT-ებსა და Web3 ეკოსისტემას.

    ვარ CryptoNews.ge-ის დამფუძნებელი, სადაც ყოველდღიურად ვაქვეყნებ სიახლეებსა და ანალიტიკურ სტატიებს. ჩემი მიზანია მკითხველს მივაწოდო ზუსტი, სწრაფი და გასაგები ინფორმაცია კრიპტოს სამყაროდან.