Kaspersky vạch trần cuộc tấn công độc hại của OkoBot: hơn 20 chương trình phối hợp ăn cắp cụm từ ghi nhớ ví tiền mã hóa

Nhóm GReAT của Kaspersky đã vạch trần khung mã độc OkoBot, với hơn 20 loại mã độc phối hợp ăn cắp cụm từ khôi phục (seed phrase) của ví tiền mã hóa, cookie của trình duyệt như trên trình duyệt web, đồng thời đã thâm nhập 25 quốc gia, với hàng trăm người dùng bị ảnh hưởng.
(Tóm tắt trước đó: Cẩn thận! Kaspersky phát hiện mã độc trộm seed phrase ví trên các ứng dụng di động phổ biến của Android và iOS)
(Bổ sung bối cảnh: SparkKitty đã thâm nhập Cửa hàng Apple và Google, đánh cắp “ảnh chụp seed phrase” của ví tiền mã hóa)

Mục lục

Toggle

  • Khung OkoBot: hơn 20 loại mã độc phối hợp gây án
  • SeedHunter: đánh cắp seed phrase của Ledger và Trezor
  • OkoSpyware: đồng thời ghi lại bàn phím và màn hình
  • Liên tục hoạt động hơn 1 năm, nhà phát triển là mục tiêu chính

Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã vạch trần một khung mã độc có tên OkoBot. Khung này bao gồm hơn 20 loại mã độc và thành phần cài cắm, hoạt động phối hợp thông qua đường hầm SSH, tập trung trộm seed phrase của ví tiền mã hóa, cookie trình duyệt và mật khẩu tài khoản, đã thâm nhập 25 quốc gia trên toàn cầu, với hàng trăm người dùng.

Khung OkoBot: hơn 20 loại mã độc phối hợp gây án

OkoBot không phải là một mã độc đơn lẻ, mà là cả một hệ khung tấn công dạng mô-đun. Kaspersky trong báo cáo kỹ thuật trên Securelist đã phân rã chi tiết chuỗi xâm nhập hoàn chỉnh: bộ tải TookPS chịu trách nhiệm cho giai đoạn xâm nhập ban đầu → bot SSH thu thập thông tin hệ thống và thiết lập đường hầm ngược → bộ khởi chạy HDUtil triển khai từng mô-đun mã độc → cuối cùng gửi dữ liệu bị đánh cắp về thông qua SFTP.

Khung gồm năm loại plugin chính:

  • Bộ đóng gói CMD (10xx): thực thi các script và lệnh riêng lẻ trong hệ thống
  • Bộ đóng gói PowerShell (11xx): hỗ trợ thực thi các script PowerShell
  • Bộ liệt kê môi trường (12xx): thu thập thông tin hệ thống, phiên hoạt động và hành trình
  • Bộ tải xuống (14xx): tải thêm payload từ blob nhị phân Base64 được nhúng hoặc từ URL
  • Bộ tiêm tiến trình (16xx): tiêm cấy thành phần độc hại vào tiến trình bình thường

SeedHunter: đánh cắp seed phrase của Ledger và Trezor

Một trong các mô-đun cốt lõi SeedHunter sẽ giám sát các tiến trình đang hoạt động trong hệ thống và tiêm cấy thành phần độc hại vào các ứng dụng như Trezor Suite, Ledger Wallet và Ledger Live. Khi phát hiện ví phần cứng được kết nối, SeedHunter sẽ hiển thị một trang lừa đảo được mã hóa cứng, yêu cầu người dùng nhập seed phrase. Trang này dùng thiết kế giao diện khác nhau cho từng loại ví, và seed phrase bị đánh cắp sau đó được mã hóa bằng RC4 để gửi về máy chủ C2.

Kaspersky trong thông cáo tin tức chính thức đặc biệt nêu rõ rằng đường lây nhiễm của OkoBot chủ yếu bao gồm ClickFix (chiêu trò lừa nhấn để cài đặt) và phần mềm giả mạo được phân phối qua GitHub. Các nhà nghiên cứu đã nhận diện trường hợp một trình cài SQL Server Management Studio giả, thực chất là bên trong có nhúng thành phần độc hại, ngụy trang dưới dạng ứng dụng biên tập âm thanh Audacity.

OkoSpyware: đồng thời ghi lại bàn phím và màn hình

Mô-đun OkoSpyware mới được bổ sung của OkoBot có khả năng đồng thời bắt ghi đầu vào bàn phím và chuỗi video của cửa sổ ứng dụng mục tiêu. Nó sẽ liệt kê hơn 100 tên tệp thực thi, bao gồm các ví tiền mã hóa như Exodus, Litecoin QT, các trình quản lý mật khẩu như KeePassXC, 1Password và nhiều ứng dụng phổ biến khác. Với mỗi tiến trình được nhận diện, OkoSpyware sử dụng phiên bản tích hợp của FFmpeg để ghi lại video MP4, đồng thời ghi nhận thao tác nhấn phím.

Trình duyệt cũng không nằm ngoài phạm vi: khi OkoSpyware phát hiện tiêu đề cửa sổ của các tiện ích mở rộng ví như MetaMask hoặc Tonkeeper, nó sẽ tự động khởi động quay video và ghi lại thao tác nhập, đồng thời ghi tiêu đề cửa sổ vào tệp siêu dữ liệu định dạng JSON.

Liên tục hoạt động hơn 1 năm, nhà phát triển là mục tiêu chính

Chuỗi lây nhiễm của OkoBot đã bắt đầu vận hành từ tháng 4 năm 2025, tính đến nay đã hơn 1 năm và vẫn tiếp tục tiến hóa. Các nhà nghiên cứu của Kaspersky cho biết quốc gia có số người dùng bị tấn công cao nhất lần lượt là Brazil, Việt Nam, Canada, Mexico và Thổ Nhĩ Kỳ. Mặc dù hiện chưa thể xác định quy kết cho một nhóm tội phạm cụ thể, phân tích kỹ thuật cho thấy dấu vết của mã nguồn theo hệ ngôn ngữ tiếng Nga, và mã ăn cắp (Rilide) mà mã độc sử dụng được lan truyền rộng rãi trên các diễn đàn tội phạm mạng nói tiếng Nga.

Trong báo cáo, Kaspersky cảnh báo rằng việc OkoBot liên tục tiến hóa cho thấy các nhà quản trị hậu trường vẫn đang tích cực phát triển. Khi hoạt động phân phối tiếp tục diễn ra, khung này có tiềm năng ảnh hưởng đến nhiều người dùng tiền mã hóa và nhà phát triển hơn.

LTC0,78%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim