کارشناسان تیم تحقیق و تحلیل جهانی کسپرسکی (GReAT) هشدار می دهند که صدها کاربر در 25 کشور در معرض خطر سرقت دارایی هایشان هستند زیرا چارچوب بدافزار خطرناک OkoBot که دارندگان ارزهای دیجیتال را هدف قرار می دهد وارد فاز فعال شده است.
تحلیلگران در گزارشی جدید می گویند هکرها تاکتیک های خود را به طور کامل اصلاح کرده اند و اکنون افرادی را هدف قرار می دهند که معتقدند کاملاً محافظت شده اند.
این بدافزار با تداخل در عملکرد برنامههای رسمی Ledger Live، Ledger Wallet و Trezor Suite و نمایش یک پنجره تأیید جعلی پول میدزدد. برای اینکه گرفتار این ترفند نشوند، به کاربران توصیه می شود که به شدت از سه قانون اساسی امنیتی پیروی کنند:
ایالات متحده تنها 15٪ از ارزش شیبا اینو (SHIB) FTX را در اختیار دارد. بنیانگذار بایننس می گوید بیت کوین کاری را انجام می دهد که هوش مصنوعی نمی تواند انجام دهد. 70 میلیون XRP در کیف پولهای میلیونر نهنگ جمعآوری شد – گزارش رمزنگاری صبحگاهی شیبا اینو 60 درصد در جریانهای هفتگی نقطهای افزایش مییابد: قیمت توضیح میدهد که چه معنایی برای سلامتی او دارد
- هرگز یک جمله شروع را با استفاده از صفحه کلید کامپیوتر وارد نکنید
- اسکریپت های شخص ثالث را از اینترنت اجرا نکنید
- سیستم را برای دسترسی پنهان به RDP بررسی کنید
در این کمپین، مهاجمان عمدا متخصصان فناوری اطلاعات و توسعه دهندگان نرم افزار را هدف قرار می دهند. اولین خطر زمانی رخ می دهد که هکرها بدافزار را به عنوان ابزار کار محبوب پنهان می کنند و نرم افزار آلوده را از طریق GitHub توزیع می کنند.
به طور خاص، محققان دریافتند که این بدافزار در یک نصب کننده جعلی Microsoft SQL Server Management Studio (SSMS) قرار دارد.
مهاجمان همچنین از حملات پیچیده ClickFix استفاده می کنند، یک تکنیک مهندسی اجتماعی که در آن کاربران متقاعد می شوند تا کدهای مخرب را در یک ترمینال به بهانه رفع یک باگ غیرمنتظره مرورگر کپی کرده و اجرا کنند.
بعدی: پیش بینی های تحلیلگران
از آنجایی که بدافزار از ساختاری مدولار متشکل از بیش از 20 مؤلفه، از جمله اسکیمر Rilide و ماژول نظارت OkoSpyware استفاده میکند، طبق Kaspersky GreAT، انتظار میرود دامنه جغرافیایی حملات فراتر از کشورهایی باشد که در حال حاضر بیشترین تعداد آلودگی را گزارش میکنند، به ویژه برزیل، ویتنام، کانادا، مکزیک و ترکیه.
شما هم ممکن است دوست داشته باشید

همچنین انتظار میرود که افزونههای مخفی جدید برای مرورگرهای مبتنی بر Chromium از جمله Chrome و Edge ظاهر شوند. بدافزار می تواند این افزونه ها را به طور کامل از لیست قابل مشاهده افزونه های نصب شده حذف کند و کاربران را از وجود آنها بی خبر بگذارد.
مرحله نهایی ممکن است شامل فروش گسترده دسترسی به رایانه های قربانیان باشد. پس از ایجاد پایداری در سیستم، OkoBot مخفیانه یک حساب مدیر جدید ایجاد می کند و یک تونل SSH پایدار برای کنترل از راه دور از طریق RDP باز می کند.
نویسنده: Gamza Khanzadaev