卡巴斯基 GReAT 團隊揭密 OkoBot 惡意軟體框架,超過 20 種惡意程式聯手竊取加密錢包助記詞、瀏覽器等瀏覽器 cookie,已滲透 25 國數百名使用者。 (前情提要:小心!卡巴斯基在 Android、iOS 熱門 APP 中發現竊取錢包助記詞的惡意軟體) (背景補充:惡意軟體SparkKitty滲透Apple與Google商店,竊取加密錢包「助記詞截圖」)
本文目錄
Toggle
卡巴斯基全球研究分析團隊(GReAT)揭密了一個名為 OkoBot 的惡意軟體框架。該框架包含超過 20 種惡意程式與植入物,透過 SSH 隧道協同運作,專門竊取加密貨幣錢包的助記詞、瀏覽器 cookie 與帳號密碼,已滲透全球 25 國數百名使用者。
OkoBot 不是一款單一惡意程式,而是一整套模組化的攻擊框架。卡巴斯基在 Securelist 技術報告 中詳細拆解了完整感染鏈:TookPS 下載器負責初始入侵 → SSH bot 收集系統資訊並建立反向隧道 → HDUtil 啟動器部署各惡意模組 → 最終透過 SFTP 送回竊取資料。
框架包含五種主要外掛:
其中一個核心模組 SeedHunter 會監控系統中的活躍行程,並將植入物注入 Trezor Suite、Ledger Wallet 和 Ledger Live 等應用程式。當偵測到連線的硬體錢包時,SeedHunter 會顯示硬編碼的釣魚頁面,要求使用者輸入助記詞。該頁面針對每種錢包型別使用不同的版面設計,竊取到的助記詞隨後透過 RC4 加密送回 C2 伺服器。
卡巴斯基在官方新聞稿 中特別指出,OkoBot 的感染途徑主要包括 ClickFix 點選詐騙和透過 GitHub 分發的偽裝軟體。研究人員識別出假 SQL Server Management Studio 安裝程式的案例,實際上是嵌入了惡意植入物的 Audacity 音訊編輯器。
OkoBot 最新加入的 OkoSpyware 模組同時捕獲鍵盤輸入與目標應用程式視窗的影片串流。它會列出超過 100 個可執行檔名稱,包含 Exodus、Litecoin QT 等加密錢包、KeePassXC、1Password 等密碼管理器,以及各種常用應用程式。對每個識別出的行程,OkoSpyware 使用內建的 FFmpeg 例項錄製 MP4 影片,同時記錄按鍵輸入。
瀏覽器也不是例外,當 OkoSpyware 偵測到 MetaMask 或 Tonkeeper 等錢包擴充頁面的視窗標題時,會自動啟動錄影與輸入記錄,並將視窗標題寫入 JSON 中繼資料檔案。
OkoBot 的感染鏈從 2025 年 4 月就已開始運作,至今已超過一年,且仍在持續進化。卡巴斯基研究員指出,被攻擊使用者最多的國家分別是巴西、越南、加拿大、墨西哥和土耳其。雖然目前無法確定歸因於特定犯罪集團,但技術分析發現俄羅斯語系程式碼痕跡,且惡意軟體使用的竊密程式(Rilide)在俄羅斯語系的網路犯罪論壇上廣泛流通。
卡巴斯基在報告中警告,OkoBot 框架的持續進化顯示後臺維護者仍在積極開發。隨著分發活動持續進行,該框架有潛力影響更多加密貨幣使用者與開發者。
140.78萬 熱度
17.98萬 熱度
27.18萬 熱度
106.77萬 熱度
2914.87萬 熱度
卡巴斯基揭密 OkoBot 惡意攻擊:20+程式聯手竊走加密錢包助記詞
卡巴斯基 GReAT 團隊揭密 OkoBot 惡意軟體框架,超過 20 種惡意程式聯手竊取加密錢包助記詞、瀏覽器等瀏覽器 cookie,已滲透 25 國數百名使用者。
(前情提要:小心!卡巴斯基在 Android、iOS 熱門 APP 中發現竊取錢包助記詞的惡意軟體)
(背景補充:惡意軟體SparkKitty滲透Apple與Google商店,竊取加密錢包「助記詞截圖」)
本文目錄
Toggle
卡巴斯基全球研究分析團隊(GReAT)揭密了一個名為 OkoBot 的惡意軟體框架。該框架包含超過 20 種惡意程式與植入物,透過 SSH 隧道協同運作,專門竊取加密貨幣錢包的助記詞、瀏覽器 cookie 與帳號密碼,已滲透全球 25 國數百名使用者。
OkoBot 框架:20 種惡意程式聯手作案
OkoBot 不是一款單一惡意程式,而是一整套模組化的攻擊框架。卡巴斯基在 Securelist 技術報告 中詳細拆解了完整感染鏈:TookPS 下載器負責初始入侵 → SSH bot 收集系統資訊並建立反向隧道 → HDUtil 啟動器部署各惡意模組 → 最終透過 SFTP 送回竊取資料。
框架包含五種主要外掛:
SeedHunter:竊取 Ledger 與 Trezor 助記詞
其中一個核心模組 SeedHunter 會監控系統中的活躍行程,並將植入物注入 Trezor Suite、Ledger Wallet 和 Ledger Live 等應用程式。當偵測到連線的硬體錢包時,SeedHunter 會顯示硬編碼的釣魚頁面,要求使用者輸入助記詞。該頁面針對每種錢包型別使用不同的版面設計,竊取到的助記詞隨後透過 RC4 加密送回 C2 伺服器。
卡巴斯基在官方新聞稿 中特別指出,OkoBot 的感染途徑主要包括 ClickFix 點選詐騙和透過 GitHub 分發的偽裝軟體。研究人員識別出假 SQL Server Management Studio 安裝程式的案例,實際上是嵌入了惡意植入物的 Audacity 音訊編輯器。
OkoSpyware:同時錄製鍵盤與畫面
OkoBot 最新加入的 OkoSpyware 模組同時捕獲鍵盤輸入與目標應用程式視窗的影片串流。它會列出超過 100 個可執行檔名稱,包含 Exodus、Litecoin QT 等加密錢包、KeePassXC、1Password 等密碼管理器,以及各種常用應用程式。對每個識別出的行程,OkoSpyware 使用內建的 FFmpeg 例項錄製 MP4 影片,同時記錄按鍵輸入。
瀏覽器也不是例外,當 OkoSpyware 偵測到 MetaMask 或 Tonkeeper 等錢包擴充頁面的視窗標題時,會自動啟動錄影與輸入記錄,並將視窗標題寫入 JSON 中繼資料檔案。
超過一年持續活躍,開發者為主要目標
OkoBot 的感染鏈從 2025 年 4 月就已開始運作,至今已超過一年,且仍在持續進化。卡巴斯基研究員指出,被攻擊使用者最多的國家分別是巴西、越南、加拿大、墨西哥和土耳其。雖然目前無法確定歸因於特定犯罪集團,但技術分析發現俄羅斯語系程式碼痕跡,且惡意軟體使用的竊密程式(Rilide)在俄羅斯語系的網路犯罪論壇上廣泛流通。
卡巴斯基在報告中警告,OkoBot 框架的持續進化顯示後臺維護者仍在積極開發。隨著分發活動持續進行,該框架有潛力影響更多加密貨幣使用者與開發者。