卡巴斯基 GReAT 團队揭密 OkoBot 惡意软體框架,超过 20 種惡意程式聯手竊取加密钱包助記詞、瀏覽器等瀏覽器 cookie,已滲透 25 国數百名使用者。 (前情提要:小心!卡巴斯基在 Android、iOS 熱门 APP 中发现竊取钱包助記詞的惡意软體) (背景補充:惡意软體 SparkKitty 滲透 Apple 与 Google 商店,竊取加密钱包「助記詞截圖」)
本文目錄
Toggle
卡巴斯基全球研究分析團队(GReAT)揭密了一个名为 OkoBot 的惡意软體框架。該框架包含超过 20 種惡意程式与植入物,透过 SSH 隧道協同运作,專门竊取加密货币钱包的助記詞、瀏覽器 cookie 与帳號密碼,已滲透全球 25 国數百名使用者。
OkoBot 不是一款單一惡意程式,而是一整套模組化的攻擊框架。卡巴斯基在 Securelist 技術报告 中詳細拆解了完整感染链:TookPS 下載器负责初始入侵 → SSH bot 收集系统资訊並建立反向隧道 → HDUtil 啟动器部署各惡意模組 → 最終透过 SFTP 送回竊取资料。
框架包含五種主要外掛:
其中一个核心模組 SeedHunter 会監控系统中的活躍行程,並將植入物注入 Trezor Suite、Ledger Wallet 和 Ledger Live 等应用程式。当偵測到连線的硬體钱包时,SeedHunter 会顯示硬編碼的釣鱼頁面,要求使用者输入助記詞。該頁面針对每種钱包型別使用不同的版面设计,竊取到的助記詞随后透过 RC4 加密送回 C2 伺服器。
卡巴斯基在官方新聞稿 中特別指出,OkoBot 的感染途徑主要包括 ClickFix 点选詐騙和透过 GitHub 分发的偽裝软體。研究人員识別出假 SQL Server Management Studio 安裝程式的案例,实际上是嵌入了惡意植入物的 Audacity 音訊編辑器。
OkoBot 最新加入的 OkoSpyware 模組同时捕獲鍵盤输入与目標应用程式視窗的影片串流。它会列出超过 100 个可執行檔名稱,包含 Exodus、Litecoin QT 等加密钱包、KeePassXC、1Password 等密碼管理器,以及各種常用应用程式。对每个识別出的行程,OkoSpyware 使用內建的 FFmpeg 例項錄製 MP4 影片,同时記錄按鍵输入。
瀏覽器也不是例外,当 OkoSpyware 偵測到 MetaMask 或 Tonkeeper 等钱包擴充頁面的視窗標題时,会自动啟动錄影与输入記錄,並將視窗標題寫入 JSON 中继资料檔案。
OkoBot 的感染链从 2025 年 4 月就已开始运作,至今已超过一年,且仍在持续进化。卡巴斯基研究員指出,被攻擊使用者最多的国家分別是巴西、越南、加拿大、墨西哥和土耳其。雖然目前无法確定歸因於特定犯罪集團,但技術分析发现俄羅斯语系程式碼痕跡,且惡意软體使用的竊密程式(Rilide)在俄羅斯语系的網路犯罪論壇上廣泛流通。
卡巴斯基在报告中警告,OkoBot 框架的持续进化顯示后臺維護者仍在積極开发。随著分发活动持续进行,該框架有潛力影響更多加密货币使用者与开发者。
139.17万 热度
76.59万 热度
26.57万 热度
104.73万 热度
2914.82万 热度
卡巴斯基揭密 OkoBot 恶意攻击:20 多个程序联手窃取加密钱包助记词
卡巴斯基 GReAT 團队揭密 OkoBot 惡意软體框架,超过 20 種惡意程式聯手竊取加密钱包助記詞、瀏覽器等瀏覽器 cookie,已滲透 25 国數百名使用者。
(前情提要:小心!卡巴斯基在 Android、iOS 熱门 APP 中发现竊取钱包助記詞的惡意软體)
(背景補充:惡意软體 SparkKitty 滲透 Apple 与 Google 商店,竊取加密钱包「助記詞截圖」)
本文目錄
Toggle
卡巴斯基全球研究分析團队(GReAT)揭密了一个名为 OkoBot 的惡意软體框架。該框架包含超过 20 種惡意程式与植入物,透过 SSH 隧道協同运作,專门竊取加密货币钱包的助記詞、瀏覽器 cookie 与帳號密碼,已滲透全球 25 国數百名使用者。
OkoBot 框架:20 種惡意程式聯手作案
OkoBot 不是一款單一惡意程式,而是一整套模組化的攻擊框架。卡巴斯基在 Securelist 技術报告 中詳細拆解了完整感染链:TookPS 下載器负责初始入侵 → SSH bot 收集系统资訊並建立反向隧道 → HDUtil 啟动器部署各惡意模組 → 最終透过 SFTP 送回竊取资料。
框架包含五種主要外掛:
SeedHunter:竊取 Ledger 与 Trezor 助記詞
其中一个核心模組 SeedHunter 会監控系统中的活躍行程,並將植入物注入 Trezor Suite、Ledger Wallet 和 Ledger Live 等应用程式。当偵測到连線的硬體钱包时,SeedHunter 会顯示硬編碼的釣鱼頁面,要求使用者输入助記詞。該頁面針对每種钱包型別使用不同的版面设计,竊取到的助記詞随后透过 RC4 加密送回 C2 伺服器。
卡巴斯基在官方新聞稿 中特別指出,OkoBot 的感染途徑主要包括 ClickFix 点选詐騙和透过 GitHub 分发的偽裝软體。研究人員识別出假 SQL Server Management Studio 安裝程式的案例,实际上是嵌入了惡意植入物的 Audacity 音訊編辑器。
OkoSpyware:同时錄製鍵盤与畫面
OkoBot 最新加入的 OkoSpyware 模組同时捕獲鍵盤输入与目標应用程式視窗的影片串流。它会列出超过 100 个可執行檔名稱,包含 Exodus、Litecoin QT 等加密钱包、KeePassXC、1Password 等密碼管理器,以及各種常用应用程式。对每个识別出的行程,OkoSpyware 使用內建的 FFmpeg 例項錄製 MP4 影片,同时記錄按鍵输入。
瀏覽器也不是例外,当 OkoSpyware 偵測到 MetaMask 或 Tonkeeper 等钱包擴充頁面的視窗標題时,会自动啟动錄影与输入記錄,並將視窗標題寫入 JSON 中继资料檔案。
超过一年持续活躍,开发者为主要目標
OkoBot 的感染链从 2025 年 4 月就已开始运作,至今已超过一年,且仍在持续进化。卡巴斯基研究員指出,被攻擊使用者最多的国家分別是巴西、越南、加拿大、墨西哥和土耳其。雖然目前无法確定歸因於特定犯罪集團,但技術分析发现俄羅斯语系程式碼痕跡,且惡意软體使用的竊密程式(Rilide)在俄羅斯语系的網路犯罪論壇上廣泛流通。
卡巴斯基在报告中警告,OkoBot 框架的持续进化顯示后臺維護者仍在積極开发。随著分发活动持续进行,該框架有潛力影響更多加密货币使用者与开发者。