کسپرسکی چارچوب بدافزاری را شناسایی کرد که سرمایهگذاران کریپتو را هدف قرار میدهد
۲۸ تیر ۱۴۰۵
شرکت امنیت سایبری کسپرسکی اعلام کرد که یک چارچوب بدافزاری تازه شناسایی شده، از طریق تاکتیکهای مهندسی اجتماعی و برنامههای تروجانشده در گیتهاب، سرمایهگذاران ارزهای دیجیتال را هدف قرار میدهد. به گزارش ، این شرکت امنیت سایبری در در روز چهارشنبه نوشت: این بدافزار که «OkoBot» نام دارد، یک زنجیره آلودگی را آغاز میکند
شرکت امنیت سایبری کسپرسکی اعلام کرد که یک چارچوب بدافزاری تازه شناسایی شده، از طریق تاکتیکهای مهندسی اجتماعی و برنامههای تروجانشده در گیتهاب، سرمایهگذاران ارزهای دیجیتال را هدف قرار میدهد.
این شرکت امنیت سایبری در روز چهارشنبه نوشت که این بدافزار «OkoBot» نام دارد و یک زنجیره آلودگی را آغاز میکند که با تاکتیکهای مهندسی اجتماعی مانند ClickFix — که کاربران را فریب میدهد تا دستورات مخربی را اجرا کنند — یا برنامههای تروجانشده در گیتهاب که یک بکدور را به دستگاههای آلوده منتقل میکنند، شروع میشود.
این بدافزار میتواند فایلهای کیف پول کریپتو، دادههای مرورگر و اعتبارنامههای کاربر را جمعآوری کند، افزونههای مخرب تزریق کرده و از پنجرههای برنامه کیف پول عکس بگیرد تا داراییها را سرقت کند. کسپرسکی اعلام کرد که از ژانویه ۲۰۲۶ چندین حمله مرتبط با این خانواده بدافزار را شناسایی کرده است.
کسپرسکی افزود که این چارچوب بدافزاری از «TookPS» تکامل یافته است؛ کمپینی که برای اولین بار در سال ۲۰۲۵ شناسایی شد و یک دانلودکننده تروجان را از طریق وبسایتهای نرمافزاری جعلی توزیع میکرد و اکنون در را به روی حملات تقلیدی باز میکند. این بدافزار با هماهنگسازی تمامی ۲۰ پیلود مخرب از طریق یک تونل SSH با کمپینهای قبلی تفاوت دارد؛ این ویژگی امکان انتقال از راه دور دادهها از رایانههای آلوده به ماشینهای تحت کنترل مهاجمان را فراهم میکند.
به گفته شرکت امنیت بلاکچین اسلومیست، به طور جداگانه، یک کمپین بدافزاری جدید در تلاش است تا از طریق فرصتهای شغلی جعلی در لینکدین، به دستگاههای توسعهدهندگان وب ۳ نفوذ کند.
اسلومیست در گزارشی در روز شنبه اعلام کرد که مهاجمان از طریق لینکدین با توسعهدهندگان بلاکچین تماس میگیرند و خود را به عنوان استخدامکننده وب ۳ جا میزنند. سپس مخازن جعلی گیتهاب را برای قربانیان ارسال میکنند و ادعا میکنند که این مخازن حاوی حداقل محصول قابل دوام است که باید قبل از مصاحبه آزمایش شود. این روند شباهت زیادی به یک مصاحبه فنی مشروع دارد که در آن توسعهدهندگان کد را دریافت میکنند، وابستگیها را نصب کرده و یک پروژه را راهاندازی میکنند، که همین موضوع تشخیص حمله را بسیار دشوار میسازد.
هدف این بدافزار ارائه یک تروجان دسترسی از راه دور کامل است که دستگاهها را آلوده کرده و به مهاجمان امکان میدهد تا کلیدهای پروژه، اعتبارنامههای ابری یا دادههای افزونه کیف پول را سرقت کنند.
اسلومیست نوشت که این حمله یک مورد منزوی نیست و حوادث اخیر نشان میدهد که مهاجمان به طور فزایندهای از سناریوهایی مانند استخدام، بررسی کدها و همکاریهای پروژهای استفاده میکنند تا توسعهدهندگان را فریب دهند که مخازن مخرب را اجرا کنند.
این گزارش یک روز پس از آن منتشر شد که اسلومیست در مورد یک کمپین بدافزاری مجزا علیه کاربران macOS هشدار داده بود؛ کمپینی که برای سرقت اعتبارنامهها و ربودن نشستهای تلگرام طراحی شده بود تا در نهایت سرمایهگذاران را فریب دهد که عبارات بازیابی کیف پول خود را از طریق وبسایتهای جعلی وارد کنند.