Шкідливе ПЗ OkoBot атакує користувачів Windows, які керують криптовалютою через Ledger, Trezor та інші застосунки гаманців. Команда Kaspersky GReAT повідомляє, що активний фреймворк потрапляє на ПК через інструкції ClickFix або фейкове завантаження з GitHub, захоплює систему й підставляє фальшиве вікно відновлення у процес справжнього застосунку гаманця. Вразливим є не апаратний гаманець: небезпечна сама вимога ввести seed-фразу на комп’ютері з Windows.[1]
Кампанія зачепила сотні користувачів у понад 25 країнах. Її модулі не обмежуються фішинговою формою: вони можуть викрадати cookie браузера й файли гаманців, записувати клавіші та буфер обміну, знімати відео вікон застосунків, відкривати віддалений доступ і передавати seed-фразу зловмисникам. Якщо ви вже ввели слова відновлення у вікні на ПК, вважайте резервну копію гаманця скомпрометованою та дійте з чистого пристрою.

Хто може постраждати від OkoBot
Найвищий ризик мають користувачі Windows, які нещодавно вставляли й запускали команду ClickFix, встановлювали програму з невідомого GitHub-репозиторію або відкривали пакет, замаскований під SQL Server Management Studio чи іншу відому утиліту. Охайний README, висока позиція в пошуку або сторінка GitHub Releases не доводять безпечність виконуваного файла. Схожі фейкові завантаження з GitHub уже використовували для поширення RAT та інфостілерів.
| Етап атаки | Що це означає для користувача |
|---|---|
| ClickFix або фейкова програма з GitHub | Команда чи троянізований застосунок запускає завантажувач TookPS. Репозиторій може виглядати офіційно, хоча його реліз шкідливий. |
| Зворотний SSH і віддалений доступ | Атака може зібрати дані про ПК, викрасти браузерні та гаманець-дані, змінити RDP-доступ і доставити додаткові модулі. |
| Ін’єкція SeedHunter | Модуль стежить за процесами Ledger і Trezor та показує фальшиву форму відновлення після підключення апаратного гаманця. |
| Кейлогер і OkoSpyware | Можуть записувати натискання клавіш, буфер обміну, скриншоти й відео вікон гаманців, менеджерів паролів та браузерів. |
Чому вікно Ledger або Trezor виглядає справжнім
OkoBot не потрібно підміняти сам апаратний гаманець. Модуль SeedHunter впроваджує код у процеси Ledger Wallet, Ledger Live або Trezor Suite та перехоплює функції їхнього Electron-інтерфейсу. Тому форма з’являється всередині програми, якій користувач уже довіряє. Шкідливий модуль може чекати на підключення пристрою Ledger або Trezor й лише після цього показувати запит.
Ця відмінність критична: справжній вигляд вікна не робить запит безпечним. Ledger наголошує, що офіційний Ledger Live ніколи не запитує recovery phrase, а слова не можна вводити на комп’ютері чи телефоні.[2] Trezor також радить вводити резервну копію лише тоді, коли цього вимагає сам пристрій Trezor і дія підтверджується на ньому.[3]
Як перевірити Windows на ознаки OkoBot
Відсутність одного файла або чисте швидке сканування не виключають компрометацію. Дослідники бачили кілька версій фреймворку, а зловмисники змінювали його модулі. Почніть із події, яка створила ризик, і шукайте пов’язані зміни:
- Ви вставляли команду PowerShell або «Виконати» після CAPTCHA, перевірки браузера чи повідомлення про оновлення.
- Ви запускали файл із нового GitHub-репозиторію, що копіював відомий продукт.
- Застосунок гаманця раптово попросив ввести 12, 20 або 24 слова відновлення на ПК.
- З’явилося нове завдання
Apple Sync, невідомий учасник групиRemote Desktop Usersабо незрозумілі зміни RDP і брандмауера. - Без законної причини існують
%USERPROFILE%\.ssh\go.bat,%PROGRAMDATA%\HDVideo\HDUtil.exe,%PROGRAMDATA%\hwid.dat,%PROGRAMDATA%\oko_ver,%TEMP%\extl.exeчи%APPDATA%\hwid.dat. - Сповіщення Windows Defender вимкнулися без вашої дії або файл
termsrv.dllмає незрозумілі зміни.
Одна назва файла ще не є вироком. Зафіксуйте повний шлях, цифровий підпис, хеш, час створення, батьківський процес і команду чи завантаження, що передували появі файла. Поєднання ризикового запуску, запиту seed-фрази, закріплення та змін віддаленого доступу є значно сильнішим доказом.
Що робити, якщо OkoBot міг потрапити на ПК
- Припиніть користуватися гаманцем на цьому комп’ютері. Від’єднайте апаратний гаманець, не вводьте seed-фразу й не підтверджуйте транзакції, доки не матимете чистого пристрою.
- Якщо seed-фразу вже ввели, створіть нову резервну копію на чистому апаратному пристрої. Якнайшвидше й уважно перенесіть активи на адреси, контрольовані новою seed-фразою. Ledger радить вважати фразу, введену на підключеному до інтернету пристрої, розкритою.[2] Не імпортуйте й не використовуйте стару фразу повторно.
- Збережіть докази. Зафіксуйте підозрілий URL, назву репозиторію, команду, інсталятор, сповіщення захисту, завдання й час подій. Не запускайте файл знову.
- Ізолюйте та проскануйте Windows. Захисний інструмент може видалити видимий завантажувач, але залишити зворотний SSH, RDP-зміни, ін’єктований модуль, браузерний викрадач або інший пейлоад. Запустіть повне сканування Gridinsoft Anti-Malware, видаліть підтверджені загрози, перезавантажте ПК і перевірте його ще раз до підключення гаманця.
- Перевірте привілейовані зміни. Перегляньте Планувальник завдань, локальних користувачів і групи, RDP, правила брандмауера, параметри Defender, розширення браузера, автозапуск і наведені шляхи. Якщо підтверджено підмінений системний файл, невідомий привілейований обліковий запис або стійкий віддалений доступ, чисте перевстановлення Windows надійніше за ручне видалення.
- Змініть розкриті облікові дані з чистого пристрою. Оновіть важливі паролі, відкличте браузерні сесії та API-токени, перевірте біржі й адреси гаманця. Сканування не повертає викрадені дані й не доводить, що їх не копіювали.
Запит seed-фрази: безпечне рішення
| Ситуація | Дія |
|---|---|
| Застосунок на ПК просить слова відновлення | Скасуйте запит. Не вводьте seed-фразу на комп’ютері, навіть якщо вікно виглядає справжнім. |
| Ви бачили форму, але нічого не ввели | Від’єднайте гаманець, ізолюйте ПК, збережіть докази та перевірте шкідливі модулі й закріплення. |
| Ви ввели хоча б частину recovery phrase | Вважайте резервну копію розкритою. З чистого пристрою створіть нову seed-фразу й перенесіть активи на нові адреси. |
| Форми не було, але фейковий інсталятор запускався | Вважайте ПК потенційно скомпрометованим: OkoBot також викрадає cookie, паролі, файли гаманців і дані буфера обміну. |
Апаратний гаманець і далі захищає ключі, якщо його резервна копія залишається офлайн, а транзакції перевіряються на самому пристрої. Практичний урок OkoBot вужчий: після зараження Windows екран комп’ютера не можна вважати надійним місцем для найціннішого секрету. Для іншого сценарію викрадення криптовалюти дивіться матеріал про CryptoBandits.A та підміну адреси гаманця, а для слабкої seed-фрази — пояснення Ill Bloom.
Джерела
- Yaroslav Kikel, Kaspersky GReAT. “OkoBot: new sophisticated malware framework targets cryptocurrency users.” Securelist, 15 липня 2026 року. Первинний звіт та індикатори.
- Ledger. “Keep My Crypto Safe: 6 Essential Rules.” Ledger Academy, дата доступу: 15 липня 2026 року. Офіційні правила захисту recovery phrase.
- Trezor. “How to use a wallet backup.” Trezor Knowledge Base, дата доступу: 15 липня 2026 року. Офіційні правила резервної копії гаманця.
