साइबर सुरक्षा विशेषज्ञों ने OkoBot नामक एक नए घातक फ्रेमवर्क का खुलासा किया है, जो 20 से अधिक पेलोड का उपयोग करके क्रिप्टो वॉलेट की सीड फ्रेज और व्यक्तिगत डेटा चुरा रहा है।
मुख्य बिंदु (Key Takeaways)
- OkoBot फ्रेमवर्क 20 से अधिक विभिन्न मालवेयर पेलोड का उपयोग कर रहा है।
- यह हमलावरों को क्रिप्टो वॉलेट की 'सीड फ्रेज' और ब्राउज़र कुकीज़ तक पहुंच प्रदान करता है।
- हमले के लिए 'ClickFix' और फर्जी GitHub रिपॉजिटरी का सहारा लिया जा रहा है।
- विशेषज्ञों को रूसी-भाषी हैकर्स पर संदेह है।
साइबर सुरक्षा की दुनिया में एक नया और बेहद खतरनाक खतरा उभरा है। Kaspersky के शोधकर्ताओं ने OkoBot नामक एक उन्नत मैलवेयर फ्रेमवर्क की पहचान की है, जो विशेष रूप से क्रिप्टोकरेंसी निवेशकों और संवेदनशील डेटा रखने वाले उपयोगकर्ताओं को निशाना बना रहा है। यह फ्रेमवर्क केवल एक साधारण वायरस नहीं है, बल्कि यह 20 से अधिक अलग-अलग 'पेलोड' (malicious payloads) का एक जटिल समूह है, जो हमले के विभिन्न चरणों में काम करते हैं।
हमले का तरीका: विश्वासघात का जाल
OkoBot हमलावर बहुत चालाकी से अपने शिकार चुनते हैं। वे अक्सर ClickFix हमलों या GitHub पर मौजूद फर्जी सॉफ्टवेयर रिपॉजिटरी का उपयोग करते हैं। उदाहरण के लिए, एक मामले में हमलावरों ने SQL Server Management Studio (SSMS) देने का वादा किया, लेकिन बदले में उपयोगकर्ताओं के सिस्टम में Audacity ऑडियो टूल का एक संक्रमित संस्करण डाल दिया। यह हमला एक 'इन्फेक्शन चेन' के माध्यम से काम करता है, जिसमें पहले चरण में एक SSH बॉट स्थापित किया जाता है जो सिस्टम की जानकारी एकत्र करता है और विंडोज डिफेंडर जैसे सुरक्षा सॉफ्टवेयर की सूचनाओं को बंद कर देता है।
घातक मॉड्यूल और उनकी कार्यप्रणाली
OkoBot के भीतर कई विशेष मॉड्यूल हैं जो विशिष्ट कार्यों के लिए डिज़ाइन किए गए हैं:
- SeedHunter: यह सबसे खतरनाक मॉड्यूल है जो Trezor Suite और Ledger Wallet जैसे लोकप्रिय क्रिप्टो वॉलेट में घुसपैठ करता है और उपयोगकर्ताओं को एक फर्जी 'सीड-रिकवरी' स्क्रीन दिखाता है ताकि वे अपनी गुप्त रिकवरी फ्रेज दर्ज कर दें।
- ext daemon/extl.exe: यह गूगल क्रोम में घुसकर दुर्भावनापूर्ण एक्सटेंशन इंस्टॉल करता है जो वित्तीय जानकारी और कुकीज़ चुराते हैं।
- MC Keylogger: यह उपयोगकर्ता द्वारा की जाने वाली हर कीस्ट्रोक और स्क्रीनशॉट को रिकॉर्ड करता है।
- OkoSpyware: यह 100 से अधिक प्रोग्रामों की निगरानी करता है और वीडियो रिकॉर्डिंग के जरिए उपयोगकर्ता की गतिविधियों पर नजर रखता है।
वैश्विक प्रभाव और संदिग्ध स्रोत
यद्यपि इस हमले के शिकार ब्राजील, वियतनाम और कनाडा जैसे देशों में अधिक देखे गए हैं, लेकिन यह एक वैश्विक खतरा है। शोधकर्ताओं ने पाया है कि हमलावर सर्वर रूसी आईपी एड्रेस (Russia/CIS) को ब्लॉक कर रहे हैं, और कोड में रूसी टिप्पणियां मिलने के कारण विशेषज्ञों को रूसी-भाषी साइबर अपराधियों पर गहरा संदेह है। याद रखें, यदि कोई हमलावर आपकी 'सीड फ्रेज' प्राप्त कर लेता है, तो आपके क्रिप्टो फंड को वापस पाना लगभग असंभव है।