Novo malware OkoBot rouba dados sensíveis e criptomoedas
Um novo framework malicioso chamado OkoBot está em operação, entregando mais de 20 tipos de payloads em ataques que visam roubar frases-semente de carteiras de criptomoedas, credenciais e outros dados sensíveis. O OkoBot atinge suas vítimas por meio de ataques ClickFix ou repositórios maliciosos no GitHub que se disfarçam como ferramentas de software legítimas. Um exemplo é um repositório que prometia o SQL Server Management Studio (SSMS), mas na verdade instalava uma versão trojanizada do Audacity. Pesquisadores da Kaspersky identificaram que a campanha OkoBot está ativa há mais de um ano e evoluiu de uma atividade anterior que utilizava um script PowerShell malicioso chamado TookPS. A nova cadeia de infecção envolve múltiplas etapas, começando com o TookPS que instala um bot SSH para entregar outros componentes maliciosos. O OkoBot coleta detalhes do sistema, desativa notificações do Windows Defender e rouba arquivos de carteiras de criptomoedas, cookies de navegadores e credenciais de contas. Entre os módulos mais notáveis estão o ext daemon/extl.exe, que injeta extensões maliciosas no Chrome, e o SeedHunter, que finge ser uma tela de recuperação de seed para roubar frases de recuperação de carteiras. A maioria das vítimas está no Brasil, seguido por países como Vietnã, Canadá e México. A campanha é global, mas apresenta características que sugerem a atuação de um ator de ameaças de língua russa.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
