据 Bits.media 报道,卡巴斯基安全研究人员发现了名为 OkoBot 的恶意软件。该恶意软件已活跃超过一年,使用约 20 个模块来窃取加密货币钱包的种子短语和凭据。攻击者采用 ClickFix 社会工程技术,诱骗用户运行恶意命令,并通过 GitHub 仓库分发恶意软件;这些仓库被伪装成诸如 SQL Server Management Studio 等合法工具。关键模块包括 SeedHunter,它会注入诸如 Trezor 和 Ledger 的硬件钱包,并展示伪造的恢复界面;MC Keylogger,用于记录键盘和剪贴板活动;以及 OkoSpyware,用于追踪钱包密码并录制窗口视频。一旦攻击者获取到种子短语,他们就能完全控制受害者的加密资产。
大多数受害者分布在巴西、越南、加拿大、墨西哥和土耳其。攻击者已针对俄罗斯以及独立国家联合体国家实施了基于地理位置的 IP 地址封锁。