Varning för OkoBot-malware
Experter från Kasperskys globala forsknings- och analysgrupp (GReAT) varnar för att hundratals användare i 25 länder riskerar att få sina tillgångar stulna när det farliga OkoBot-malware-ramverket har gått in i en aktiv fas. Hackare har helt reviderat sina taktiker och riktar sig nu mot personer som trott att de var helt skyddade, enligt en ny rapport från analytiker.
Hur malware fungerar
Malware stjäl medel genom att avlyssna funktionerna i de officiella applikationerna Ledger Live, Ledger Wallet och Trezor Suite, och visar ett falskt verifieringsfönster. För att undvika att falla för detta trick rekommenderas användare att strikt följa tre viktiga säkerhetsregler.
Angriparnas taktik
I denna kampanj riktar sig angriparna medvetet mot IT-specialister och mjukvaruutvecklare. Den initiala kompromissen sker när hackare förklädd malware som populära arbetsverktyg och distribuerar infekterad mjukvara via GitHub. Forskare har redan upptäckt malware inuti en falsk installerare av Microsoft SQL Server Management Studio (SSMS).
Sofistikerade attacker
Samtidigt använder angriparna sofistikerade ClickFix-attacker, en social ingenjörsteknik där användare övertygas att kopiera och köra skadlig kod i en terminal under förevändning av att åtgärda ett oväntat webbläsarfel.
Geografisk räckvidd och framtida hot
Enligt Kaspersky GReAT, eftersom malware använder en modulär struktur som består av mer än 20 komponenter, inklusive Rilide infostealer och OkoSpyware övervakningsmodul, förväntas den geografiska räckvidden för attackerna att expandera bortom de länder som för närvarande rapporterar det högsta antalet infektioner, ledda av Brasilien, Vietnam, Kanada, Mexiko och Turkiet.
Risker med webbläsartillägg
Nya dolda tillägg för Chromium-baserade webbläsare, inklusive Chrome och Edge, förväntas också dyka upp. Malware kan helt ta bort dessa tillägg från den synliga listan över installerade tillägg, vilket lämnar användarna ovetande om deras närvaro.
Storskalig försäljning av åtkomst
Det sista steget kan involvera storskalig försäljning av åtkomst till offrens datorer. Efter att ha etablerat beständighet i ett system skapar OkoBot i hemlighet ett nytt administratörskonto och öppnar en permanent SSH-tunnel för fjärrkontroll via RDP.