كاسبرسكي يكشف هجوم OkoBot الخبيث: أكثر من 20 برنامجًا متعاونًا يسرق عبارات الاسترداد لمحافظ العملات المشفرة

فريق Kaspersky GReAT يكشف النقاب عن إطار البرمجيات الخبيثة OkoBot. يضم أكثر من 20 نوعًا من البرمجيات الخبيثة تعمل بتنسيق لسرقة العبارات التذكيرية لمحافظ العملات المشفرة، وملفات تعريف الارتباط الخاصة بالمتصفح، وغيرها من البيانات. وقد اخترق 25 دولة، واصطاد مئات المستخدمين.
(ملخص سابق: انتبه! عثر Kaspersky على برمجيات خبيثة في تطبيقات Android وiOS الشائعة تقوم بسرقة عبارات محافظ العملات)
(إضافة خلفية: اخترقت البرمجيات الخبيثة SparkKitty متجرَي Apple وGoogle، وسرقت «لقطات عبارات» محافظ العملات المشفرة)

جدول المحتويات

Toggle

  • إطار OkoBot: 20 نوعًا من البرمجيات الخبيثة تتعاون في تنفيذ الهجوم
  • SeedHunter: سرقة العبارات التذكيرية الخاصة بـ Ledger وTrezor
  • OkoSpyware: تسجيل لوحة المفاتيح والصورة في آن واحد
  • نشاط مستمر لأكثر من عام، والمطورون هم الهدف الأساسي

كشفت وحدة الأبحاث والتحليل العالمية في Kaspersky (GReAT) عن إطار برمجيات خبيثة يدعى OkoBot. يتضمن هذا الإطار أكثر من 20 نوعًا من البرمجيات الخبيثة والزرعات (الملحقات) الضارة، تعمل بتنسيق عبر أنفاق SSH، ومهمتها المتخصصة سرقة العبارات التذكيرية لمحافظ العملات المشفرة، وملفات تعريف الارتباط الخاصة بالمتصفح، وكلمات المرور للحسابات. وقد اخترق عالميًا 25 دولة، واستهدف مئات المستخدمين.

إطار OkoBot: 20 نوعًا من البرمجيات الخبيثة تتعاون في تنفيذ الهجوم

ليس OkoBot برنامجًا خبيثًا واحدًا، بل هو مجموعة كاملة من أطر هجوم قائمة على الوحدات. حلل Kaspersky في تقريره الفني على Securelist سلسلة العدوى كاملة بالتفصيل: يقوم برنامج TookPS بتنزيل أداة التنصيب الأولي → يجمع bot عبر SSH معلومات النظام ويُنشئ نفقًا عكسيًا → يقوم مشغل HDUtil بنشر الوحدات الخبيثة المختلفة → في النهاية، ينقل البيانات المسروقة عبر SFTP إلى الخادم.

يضم الإطار خمس ملحقات رئيسية:

  • مغلف CMD (10xx): تنفيذ سكربتات وأوامر منفصلة داخل النظام
  • مغلف PowerShell (11xx): يدعم تنفيذ سكربتات PowerShell
  • مُحصي البيئة (12xx): يجمع معلومات النظام والجلسات النشطة والمهام
  • أداة التنزيل (14xx): تنزيل حمولات إضافية من blob ثنائي مُضمّن Base64 أو من URL
  • مُحقن المهام (16xx): إدخال الزرعات الخبيثة داخل مهام تبدو طبيعية

SeedHunter: سرقة العبارات التذكيرية الخاصة بـ Ledger وTrezor

إحدى الوحدات الأساسية، SeedHunter، تراقب العمليات النشطة على النظام، وتُدخل الزرعات داخل تطبيقات مثل Trezor Suite وLedger Wallet وLedger Live. وعند اكتشاف وجود محفظة عتادية متصلة، تُظهر SeedHunter صفحة تصيّد مشفّرة ترميزًا ثابتًا (hard-coded) تطلب من المستخدم إدخال العبارة التذكيرية. تستهدف الصفحة كل نوع من المحافظ بتصميم واجهة مختلف، ثم تُرسل العبارة التذكيرية المسروقة لاحقًا إلى خادم C2 عبر تشفير RC4.

يشير Kaspersky في بيان صحفي رسمي إلى أن طرق عدوى OkoBot تتمثل أساسًا في التصيد بالنقر عبر ClickFix وعمليات التوزيع على شكل برمجيات مموهة عبر GitHub. حدد الباحثون حالات لاستخدام مُثبّت مزيف لـ SQL Server Management Studio، وهو في الواقع محرر صوتيات Audacity يتضمن زرعات خبيثة.

OkoSpyware: تسجيل لوحة المفاتيح والصورة في آن واحد

تضم OkoBot مؤخرًا وحدة OkoSpyware التي تلتقط في الوقت نفسه إدخالات لوحة المفاتيح وبثًا لفيديو نافذة التطبيق المستهدف. تقوم بعرض أكثر من 100 اسم ملف تنفيذي، بما يشمل محافظ تشفير مثل Exodus وLitecoin QT، ومديري كلمات المرور مثل KeePassXC و1Password، إضافة إلى عدد من التطبيقات الشائعة الأخرى. وبالنسبة لكل عملية يتم تحديدها، تستخدم OkoSpyware نسخة مدمجة من FFmpeg لتسجيل فيديو MP4، مع تسجيل ضغطات المفاتيح أيضًا.

ولا تُعد المتصفحات استثناءً: عندما تكتشف OkoSpyware عناوين نوافذ امتدادات محافظ مثل MetaMask أو Tonkeeper، فإنها تقوم بتشغيل التسجيل وتسجيل الإدخال تلقائيًا، ثم تكتب عنوان النافذة في ملف بيانات وصف ميتاداتا بصيغة JSON.

نشاط مستمر لأكثر من عام، والمطورون هم الهدف الأساسي

بدأت سلسلة العدوى الخاصة بـ OkoBot منذ أبريل 2025، وهي مستمرة منذ أكثر من عام، ولا تزال تتطور. وأوضح باحثو Kaspersky أن أكثر الدول التي تعرضت لهجمات كانت البرازيل وفيتنام وكندا والمكسيك وتركيا. ورغم أنه لا يمكن حاليًا تأكيد نسبتها إلى جماعة إجرامية بعينها، كشفت التحليلات التقنية عن آثار لكود بلغة روسية، كما أن أداة التجسس (Rilide) المستخدمة في البرمجيات الخبيثة منتشرة على نطاق واسع في منتديات الجرائم الإلكترونية الروسية.

وحذر Kaspersky في تقريره من أن تطور إطار OkoBot المستمر يدل على أن القائمين على الخلفية ما زالوا يطوّرون بنشاط. ومع استمرار أنشطة التوزيع، توجد إمكانية لتأثير هذا الإطار في عدد أكبر من مستخدمي العملات المشفرة والمطورين.

LTC%0.78
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت