卡巴斯基揭密 OkoBot 惡意攻擊:20+程式聯手竊走加密錢包助記詞

卡巴斯基 GReAT 團隊揭密 OkoBot 惡意軟體框架,超過 20 種惡意程式聯手竊取加密錢包助記詞、瀏覽器等瀏覽器 cookie,已滲透 25 國數百名使用者。
(前情提要:小心!卡巴斯基在 Android、iOS 熱門 APP 中發現竊取錢包助記詞的惡意軟體)
(背景補充:惡意軟體SparkKitty滲透Apple與Google商店,竊取加密錢包「助記詞截圖」)

本文目錄

Toggle

  • OkoBot 框架:20 種惡意程式聯手作案
  • SeedHunter:竊取 Ledger 與 Trezor 助記詞
  • OkoSpyware:同時錄製鍵盤與畫面
  • 超過一年持續活躍,開發者為主要目標

卡巴斯基全球研究分析團隊(GReAT)揭密了一個名為 OkoBot 的惡意軟體框架。該框架包含超過 20 種惡意程式與植入物,透過 SSH 隧道協同運作,專門竊取加密貨幣錢包的助記詞、瀏覽器 cookie 與帳號密碼,已滲透全球 25 國數百名使用者。

OkoBot 框架:20 種惡意程式聯手作案

OkoBot 不是一款單一惡意程式,而是一整套模組化的攻擊框架。卡巴斯基在 Securelist 技術報告 中詳細拆解了完整感染鏈:TookPS 下載器負責初始入侵 → SSH bot 收集系統資訊並建立反向隧道 → HDUtil 啟動器部署各惡意模組 → 最終透過 SFTP 送回竊取資料。

框架包含五種主要外掛:

  • CMD 包裝器(10xx):在系統中執行指令碼與個別指令
  • PowerShell 包裝器(11xx):支援 PowerShell 指令碼執行
  • 環境列舉器(12xx):收集系統資訊、活躍會話與行程
  • 下載器(14xx):從嵌入的 Base64 二進位 blob 或 URL 下載額外載荷
  • 行程注入器(16xx):將惡意植入物注入正常行程

SeedHunter:竊取 Ledger 與 Trezor 助記詞

其中一個核心模組 SeedHunter 會監控系統中的活躍行程,並將植入物注入 Trezor Suite、Ledger Wallet 和 Ledger Live 等應用程式。當偵測到連線的硬體錢包時,SeedHunter 會顯示硬編碼的釣魚頁面,要求使用者輸入助記詞。該頁面針對每種錢包型別使用不同的版面設計,竊取到的助記詞隨後透過 RC4 加密送回 C2 伺服器。

卡巴斯基在官方新聞稿 中特別指出,OkoBot 的感染途徑主要包括 ClickFix 點選詐騙和透過 GitHub 分發的偽裝軟體。研究人員識別出假 SQL Server Management Studio 安裝程式的案例,實際上是嵌入了惡意植入物的 Audacity 音訊編輯器。

OkoSpyware:同時錄製鍵盤與畫面

OkoBot 最新加入的 OkoSpyware 模組同時捕獲鍵盤輸入與目標應用程式視窗的影片串流。它會列出超過 100 個可執行檔名稱,包含 Exodus、Litecoin QT 等加密錢包、KeePassXC、1Password 等密碼管理器,以及各種常用應用程式。對每個識別出的行程,OkoSpyware 使用內建的 FFmpeg 例項錄製 MP4 影片,同時記錄按鍵輸入。

瀏覽器也不是例外,當 OkoSpyware 偵測到 MetaMask 或 Tonkeeper 等錢包擴充頁面的視窗標題時,會自動啟動錄影與輸入記錄,並將視窗標題寫入 JSON 中繼資料檔案。

超過一年持續活躍,開發者為主要目標

OkoBot 的感染鏈從 2025 年 4 月就已開始運作,至今已超過一年,且仍在持續進化。卡巴斯基研究員指出,被攻擊使用者最多的國家分別是巴西、越南、加拿大、墨西哥和土耳其。雖然目前無法確定歸因於特定犯罪集團,但技術分析發現俄羅斯語系程式碼痕跡,且惡意軟體使用的竊密程式(Rilide)在俄羅斯語系的網路犯罪論壇上廣泛流通。

卡巴斯基在報告中警告,OkoBot 框架的持續進化顯示後臺維護者仍在積極開發。隨著分發活動持續進行,該框架有潛力影響更多加密貨幣使用者與開發者。

LTC0.99%
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 打賞
  • 回覆
  • 轉發
  • 分享
回覆
請輸入回覆內容
請輸入回覆內容
暫無回覆
  • 已置頂