شرکت امنیت سایبری کسپرسکی اعلام کرد که یک چارچوب بدافزاری تازه شناسایی شده، از طریق تاکتیکهای مهندسی اجتماعی و برنامههای تروجانشده در گیتهاب، سرمایهگذاران ارزهای دیجیتال را هدف قرار میدهد.
به گزارش میهن بلاکچین، این شرکت امنیت سایبری در در روز چهارشنبه نوشت:
این بدافزار که «OkoBot» نام دارد، یک زنجیره آلودگی را آغاز میکند که با تاکتیکهای مهندسی اجتماعی مانند ClickFix (که کاربران را فریب میدهد تا دستورات مخربی را اجرا کنند)، یا برنامههای تروجانشده در گیتهاب که یک بکدور (backdoor) را به دستگاههای آلوده منتقل میکنند، شروع میشود.
این بدافزار میتواند فایلهای کیف پول کریپتو، دادههای مرورگر و اعتبارنامههای (credentials) کاربر را جمعآوری کند، افزونههای مخرب تزریق کرده و از پنجرههای برنامه کیف پول عکس بگیرد تا داراییها را سرقت کند. کسپرسکی گفت که از ژانویه ۲۰۲۶ چندین حمله مرتبط با این خانواده بدافزار را شناسایی کرده است.
کسپرسکی افزود که این چارچوب بدافزاری از «TookPS» تکامل یافته است و یک کمپین بدافزاری بوده که برای اولین بار در سال ۲۰۲۵ شناسایی شد و یک دانلودکننده تروجان را از طریق وبسایتهای نرمافزاری جعلی توزیع میکرد و اکنون در را به روی حملات تقلیدی باز میکند.
این بدافزار با هماهنگسازی تمامی ۲۰ پیلود (payload) مخرب از طریق یک تونل SSH با کمپینهای قبلی تفاوت دارد؛ این ویژگی امکان انتقال از راه دور دادهها از رایانههای آلوده به ماشینهای راه دورِ تحت کنترل مهاجمان را فراهم میکند.
کمپینهای استخدامی جعلی لینکدین، توسعهدهندگان وب ۳ را با بدافزار هدف قرار میدهند
به گفته اسلومیست (SlowMist)، به طور جداگانه، یک کمپین بدافزاری جدید در تلاش است تا از طریق فرصتهای شغلی جعلی در لینکدین، به دستگاههای توسعهدهندگان وب ۳ (Web3) نفوذ کند.
این شرکت امنیت بلاکچین در گزارشی در روز شنبه گفت که مهاجمان از طریق لینکدین با توسعهدهندگان بلاکچین تماس میگیرند و خود را به عنوان استخدامکننده وب ۳ جا میزنند. سپس آنها مخازن جعلی گیتهاب را برای قربانیان ارسال میکنند و ادعا میکنند که این مخازن حاوی حداقل محصول قابل دوام (MVP) است که باید قبل از مصاحبه آزمایش شود.
به گفته اسلومیست، این روند کار شباهت زیادی به یک مصاحبه فنی مشروع دارد که در آن توسعهدهندگان کد را دریافت (pull) میکنند، وابستگیها را نصب کرده و یک پروژه را راهاندازی میکنند، که همین موضوع متوجه شدن حمله را بسیار دشوار میسازد.
هدف این بدافزار ارائه یک تروجان دسترسی از راه دور (RAT) کامل است که دستگاهها را آلوده کرده و به مهاجمان این امکان را میدهد تا کلیدهای پروژه، اعتبارنامههای ابری یا دادههای افزونه کیف پول را از این توسعهدهندگان سرقت کنند.
اسلومیست نوشت:
این حمله یک مورد منزوی نیست و حوادث اخیر نشان میدهد که مهاجمان به طور فزایندهای از سناریوهایی مانند استخدام، بررسی کدها و همکاریهای پروژهای استفاده میکنند تا توسعهدهندگان را فریب دهند که به طور فعال مخازن مخرب را اجرا کنند.
این گزارش یک روز پس از آن منتشر شد که اسلومیست در مورد یک کمپین بدافزاری مجزا که کاربران سیستمعامل مک (macOS) را هدف قرار داده بود، هشدار داد؛ هدفی که برای سرقت اعتبارنامههای آنها و ربودن نشستهای (sessions) تلگرام آنها طراحی شده بود تا در نهایت سرمایهگذاران را فریب دهد که عبارات بازیابی کیف پول خود را از طریق وبسایتهای جعلی وارد کنند.












