Kaspersky dévoile l’attaque malveillante d’OkoBot : plus de 20 programmes collaborent pour voler les phrases mnémoniques des portefeuilles crypto

L’équipe GReAT de Kaspersky révèle un cadre de logiciel malveillant nommé OkoBot : plus de 20 types de programmes malveillants collaborent pour voler des phrases mnémoniques de portefeuilles crypto, des cookies de navigateurs, etc. Il s’est déjà infiltré dans 25 pays auprès de centaines d’utilisateurs.
(Contexte : attention ! Kaspersky a découvert sur Android et iOS des logiciels malveillants qui volent des phrases mnémoniques de portefeuilles dans des applications populaires)
(Informations supplémentaires : le logiciel malveillant SparkKitty a infiltré les boutiques Apple et Google en volant des « captures d’écran de phrases mnémoniques » de portefeuilles crypto)

Table des matières

Toggle

  • Cadre OkoBot : plus de 20 programmes malveillants agissent de concert
  • SeedHunter : voler des phrases mnémoniques Ledger et Trezor
  • OkoSpyware : enregistrer simultanément le clavier et l’écran
  • Activité continue depuis plus d’un an, les développeurs sont l’objectif principal

L’équipe mondiale d’analyse et de recherche de Kaspersky (GReAT) a dévoilé un cadre de logiciel malveillant nommé OkoBot. Ce cadre comprend plus de 20 programmes malveillants et greffons, fonctionnant en coordination via des tunnels SSH, et conçu pour voler les phrases mnémoniques de portefeuilles de cryptomonnaie, des cookies de navigateur et des mots de passe de comptes, s’étant déjà infiltré dans 25 pays auprès de centaines d’utilisateurs.

Cadre OkoBot : plus de 20 programmes malveillants agissent de concert

OkoBot n’est pas un seul logiciel malveillant, mais tout un ensemble de cadres d’attaque modulaires. Dans un rapport technique sur Securelist, Kaspersky détaille la chaîne d’infection complète : le téléchargeur TookPS est chargé de l’intrusion initiale → le bot SSH collecte des informations système et établit un tunnel inverse → le lanceur HDUtil déploie divers modules malveillants → enfin, il renvoie les données volées via SFTP.

Le cadre inclut cinq principaux plug-ins :

  • Enveloppe CMD (10xx) : exécuter des scripts et des commandes individuelles dans le système
  • Enveloppe PowerShell (11xx) : prise en charge de l’exécution de scripts PowerShell
  • Énumérateur d’environnements (12xx) : collecte d’informations système, de sessions actives et de trajets
  • Téléchargeur (14xx) : télécharge des charges additionnelles à partir d’un blob binaire Base64 intégré ou d’une URL
  • Injecteur de processus (16xx) : injecte les éléments malveillants dans des processus normaux

SeedHunter : voler des phrases mnémoniques Ledger et Trezor

Un des modules essentiels, SeedHunter, surveille les processus actifs sur le système et injecte les éléments malveillants dans des applications telles que Trezor Suite, Ledger Wallet et Ledger Live. Lorsqu’il détecte un portefeuille matériel connecté, SeedHunter affiche une page de phishing codée en dur, demandant à l’utilisateur d’entrer la phrase mnémonique. Cette page utilise une conception d’interface différente pour chaque type de portefeuille ; la phrase mnémonique volée est ensuite renvoyée au serveur C2 via un chiffrement RC4.

Kaspersky indique dans un communiqué officiel que les vecteurs d’infection d’OkoBot incluent principalement le click-fix (arnaques par clic) et des logiciels déguisés distribués via GitHub. Les chercheurs ont identifié des cas d’installateurs de faux SQL Server Management Studio, qui se révèlent en réalité contenir un éditeur audio Audacity intégrant des éléments malveillants.

OkoSpyware : enregistrer simultanément le clavier et l’écran

Le module récemment ajouté à OkoBot, OkoSpyware, capture simultanément les saisies au clavier et un flux vidéo de la fenêtre de l’application cible. Il dresse la liste de plus de 100 noms de fichiers exécutables, y compris des portefeuilles crypto tels qu’Exodus et Litecoin QT, des gestionnaires de mots de passe comme KeePassXC et 1Password, ainsi que diverses applications courantes. Pour chaque processus identifié, OkoSpyware utilise une instance intégrée de FFmpeg pour enregistrer des vidéos MP4 et enregistre également les frappes clavier.

Le navigateur n’est pas non plus épargné : lorsqu’OkoSpyware détecte le titre de la fenêtre d’extensions de portefeuilles tels que MetaMask ou Tonkeeper, il lance automatiquement l’enregistrement et la journalisation des saisies, puis écrit le titre de la fenêtre dans un fichier de métadonnées JSON.

Activité continue depuis plus d’un an, les développeurs sont l’objectif principal

La chaîne d’infection d’OkoBot est en fonctionnement depuis avril 2025. À ce jour, cela fait plus d’un an et elle continue d’évoluer. Les chercheurs de Kaspersky indiquent que les pays comptant le plus d’utilisateurs victimes sont respectivement le Brésil, le Vietnam, le Canada, le Mexique et la Turquie. Bien qu’il soit actuellement impossible de déterminer avec certitude l’attribution à un groupe criminel spécifique, l’analyse technique a mis en évidence des traces de code en russe, et les modules de vol (Rilide) utilisés par le logiciel malveillant circulent largement sur des forums de criminalité en ligne russophones.

Dans son rapport, Kaspersky met en garde : la poursuite de l’évolution du cadre OkoBot montre que les mainteneurs en arrière-plan continuent activement de développer le dispositif. À mesure que les activités de distribution se poursuivent, ce cadre a le potentiel d’avoir un impact sur davantage d’utilisateurs et de développeurs de cryptomonnaies.

LTC0,78%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé