Kaspersky GReAT:n varoitus OkoBot-haittaohjelmasta
Kaspersky Global Research and Analysis Team (GReAT) varoittaa, että satojen käyttäjien varat ovat vaarassa 25 maassa, kun vaarallinen OkoBot-haittaohjelma, joka kohdistuu kryptovaluuttojen omistajiin, on siirtynyt aktiiviseen vaiheeseen. Hakkerit ovat muokanneet taktiikoitaan ja kohdistavat nyt ihmisiin, jotka uskovat olevansa täysin suojattuja, analyytikoiden mukaan.
Haittaohjelman toimintatavat
Haittaohjelma varastaa varoja keskeyttämällä virallisten Ledger Live, Ledger Wallet ja Trezor Suite -sovellusten toimintoja ja näyttämällä valevahvistusikkunoita. Tämän temppun välttämiseksi käyttäjiä kehotetaan noudattamaan tiukasti kolmea keskeistä turvallisuusohjetta.
Kampanjassa hyökkääjät kohdistavat tahallisesti IT-asiantuntijoita ja ohjelmistokehittäjiä.
Hyökkäysten alkuperä
Alkuperäinen kompromissi tapahtuu, kun hakkerit naamioivat haittaohjelman suosituiksi työkaluiksi ja jakavat tartunnan saaneita ohjelmistoja GitHubin kautta. Erityisesti tutkijat ovat löytäneet haittaohjelman vale Microsoft SQL Server Management Studio (SSMS) -asennusohjelmasta.
Monimutkaiset hyökkäystekniikat
Hyökkääjät käyttävät monimutkaisia ClickFix-hyökkäyksiä, sosiaalisen manipuloinnin tekniikkaa, jossa käyttäjiä houkutellaan kopioimaan ja suorittamaan haitallista koodia terminaalissa väittäen korjaavansa odottamatonta selainvirhettä.
Haittaohjelman rakenne ja laajeneminen
Kaspersky GReAT:n mukaan haittaohjelma käyttää modulaarista rakennetta, joka koostuu yli 20 komponentista, mukaan lukien Rilide-infovarastaja ja OkoSpyware-valvontamoduuli. Hyökkäysten maantieteellisen ulottuvuuden odotetaan laajenevan nykyisten korkeimpien tartuntamäärien maiden, kuten Brasilian, Vietnamin, Kanadan, Meksikon ja Turkin, ulkopuolelle.
Uusia piilotettuja laajennuksia Chromium-pohjaisille selaimille, kuten Chrome ja Edge, odotetaan myös ilmestyvän. Haittaohjelma voi poistaa nämä laajennukset kokonaan näkyvistä asennettujen lisäosien luettelosta, jättäen käyttäjät tietämättömiksi niiden olemassaolosta.
Viimeiset vaiheet ja uhkat
Viimeisessä vaiheessa voi olla kyse uhreiden tietokoneiden pääsyn myynnistä suuressa mittakaavassa. Kun OkoBot on vakiinnuttanut asemansa järjestelmässä, se luo salaa uuden järjestelmänvalvojan tilin ja avaa pysyvän SSH-tunnelin etäohjausta varten RDP:n kautta.