Kaspersky เปิดเผยหนึ่งในบอทขโมยคริปโตที่อันตรายที่สุดสำหรับเจ้าของกระเป๋าเงิน – U.Today

4 ชั่วโมง ที่ผ่านมา
อ่าน 6 นาที
3 มุมมอง

การเตือนภัยจาก Kaspersky เกี่ยวกับมัลแวร์ OkoBot

ผู้เชี่ยวชาญจากทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky (GReAT) เตือนว่าผู้ใช้หลายร้อยคนใน 25 ประเทศมีความเสี่ยงที่จะถูกขโมยทรัพย์สิน เนื่องจากมัลแวร์ OkoBot ที่อันตรายได้เข้าสู่ระยะการทำงานที่มีความเคลื่อนไหว

แฮกเกอร์ได้ปรับเปลี่ยนกลยุทธ์อย่างสิ้นเชิงและตอนนี้มุ่งเป้าไปที่ผู้คนที่เชื่อว่าตนเองได้รับการป้องกันอย่างเต็มที่ นักวิเคราะห์ระบุในรายงานใหม่ มัลแวร์นี้ขโมยเงินโดยการดักจับฟังก์ชันของแอปพลิเคชัน Ledger Live, Ledger Wallet และ Trezor Suite อย่างเป็นทางการ และแสดงหน้าต่างการตรวจสอบปลอม

วิธีป้องกันตัวเองจากการถูกโจมตี

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของกลโกงนี้ ผู้ใช้ควรปฏิบัติตามกฎความปลอดภัยที่สำคัญสามข้ออย่างเคร่งครัด ในแคมเปญนี้ ผู้โจมตีตั้งใจมุ่งเป้าไปที่ผู้เชี่ยวชาญด้าน IT และนักพัฒนาซอฟต์แวร์

การถูกโจมตีครั้งแรกเกิดขึ้นเมื่อแฮกเกอร์ปลอมแปลงมัลแวร์เป็นเครื่องมือทำงานยอดนิยมและแจกจ่ายซอฟต์แวร์ที่ติดเชื้อผ่าน GitHub โดยเฉพาะ

นักวิจัยได้ค้นพบมัลแวร์ภายในตัวติดตั้ง Microsoft SQL Server Management Studio (SSMS) ปลอม ในขณะเดียวกัน ผู้โจมตีกำลังใช้การโจมตี ClickFix ที่ซับซ้อน ซึ่งเป็นเทคนิคการวิศวกรรมสังคมที่ผู้ใช้ถูกชักชวนให้คัดลอกและรันโค้ดที่เป็นอันตรายในเทอร์มินัลภายใต้ข้ออ้างในการแก้ไขข้อผิดพลาดของเบราว์เซอร์ที่ไม่คาดคิด

การขยายตัวของการโจมตี

ตามข้อมูลของ Kaspersky GReAT ตั้งแต่มัลแวร์ใช้โครงสร้างแบบโมดูลาร์ที่ประกอบด้วยส่วนประกอบมากกว่า 20 ชิ้น รวมถึง Rilide infostealer และ OkoSpyware surveillance module การเข้าถึงทางภูมิศาสตร์ของการโจมตีคาดว่าจะขยายออกไปนอกประเทศที่รายงานจำนวนการติดเชื้อสูงสุดในปัจจุบัน ซึ่งนำโดย บราซิล, เวียดนาม, แคนาดา, เม็กซิโก และ ตุรกี

นอกจากนี้ยังคาดว่าจะมีการปรากฏตัวของส่วนขยายที่ซ่อนอยู่ใหม่สำหรับเบราว์เซอร์ที่ใช้ Chromium รวมถึง Chrome และ Edge มัลแวร์สามารถลบส่วนขยายเหล่านี้ออกจากรายการที่มองเห็นได้ของส่วนเสริมที่ติดตั้ง ทำให้ผู้ใช้ไม่ทราบถึงการมีอยู่ของมัน

ขั้นตอนสุดท้ายอาจเกี่ยวข้องกับการขายการเข้าถึงคอมพิวเตอร์ของเหยื่อในขนาดใหญ่ หลังจากที่สร้างความคงอยู่ในระบบ OkoBot จะสร้างบัญชีผู้ดูแลระบบใหม่อย่างลับๆ และเปิดอุโมงค์ SSH ถาวรสำหรับการควบคุมระยะไกลผ่าน RDP.

ล่าสุดจาก Blog