OkoBotマルウェアの脅威
Kasperskyのグローバルリサーチ&分析チーム(GReAT)の専門家は、25か国の数百人のユーザーが資産を盗まれる危険にさらされていると警告しています。危険なOkoBotマルウェアフレームワークが暗号通貨所有者をターゲットにした活動を開始しました。
ハッカーの新たな戦術
アナリストは、新しい報告書の中で、ハッカーが完全に保護されていると信じていた人々を狙うために戦術を見直したと指摘しています。このマルウェアは、公式のLedger Live、Ledger Wallet、Trezor Suiteアプリケーションの機能を傍受し、偽の確認ウィンドウを表示することで資金を盗みます。
ユーザーへのセキュリティ対策
ユーザーはこのトリックに引っかからないために、厳格に3つの重要なセキュリティルールに従うことをお勧めします。攻撃者は意図的にIT専門家やソフトウェア開発者をターゲットにしています。
初期の侵害と感染経路
初期の侵害は、ハッカーがマルウェアを人気のある作業ツールに偽装し、GitHubを通じて感染したソフトウェアを配布することで発生します。特に、研究者は偽のMicrosoft SQL Server Management Studio(SSMS)インストーラー内にマルウェアを発見しています。
高度な攻撃手法
同時に、攻撃者は高度なClickFix攻撃を使用しており、これはユーザーを説得して悪意のあるコードを端末でコピーして実行させる社会工学的手法です。
マルウェアの構造と影響
Kaspersky GReATによると、このマルウェアはRilideインフォステーラーやOkoSpyware監視モジュールを含む20以上のコンポーネントからなるモジュラー構造を使用しているため、攻撃の地理的範囲は現在最も多くの感染が報告されている国、ブラジル、ベトナム、カナダ、メキシコ、トルコを超えて拡大することが予想されます。
新たな拡張機能の出現
ChromeやEdgeを含むChromiumベースのブラウザ用の新しい隠れた拡張機能も出現することが予想されています。このマルウェアは、インストールされたアドオンの可視リストからこれらの拡張機能を完全に削除し、ユーザーがその存在に気付かないようにします。
最終段階の脅威
最終段階では、被害者のコンピュータへのアクセスを大規模に販売することが含まれる可能性があります。システム内での持続性を確立した後、OkoBotは秘密裏に新しい管理者アカウントを作成し、RDPを介してリモート制御のための恒久的なSSHトンネルを開きます。