卡巴斯基揭密 OkoBot 恶意攻击:20 多个程序联手窃取加密钱包助记词

卡巴斯基 GReAT 團队揭密 OkoBot 惡意软體框架,超过 20 種惡意程式聯手竊取加密钱包助記詞、瀏覽器等瀏覽器 cookie,已滲透 25 国數百名使用者。
(前情提要:小心!卡巴斯基在 Android、iOS 熱门 APP 中发现竊取钱包助記詞的惡意软體)
(背景補充:惡意软體 SparkKitty 滲透 Apple 与 Google 商店,竊取加密钱包「助記詞截圖」)

本文目錄

Toggle

  • OkoBot 框架:20 種惡意程式聯手作案
  • SeedHunter:竊取 Ledger 与 Trezor 助記詞
  • OkoSpyware:同时錄製鍵盤与畫面
  • 超过一年持续活躍,开发者为主要目標

卡巴斯基全球研究分析團队(GReAT)揭密了一个名为 OkoBot 的惡意软體框架。該框架包含超过 20 種惡意程式与植入物,透过 SSH 隧道協同运作,專门竊取加密货币钱包的助記詞、瀏覽器 cookie 与帳號密碼,已滲透全球 25 国數百名使用者。

OkoBot 框架:20 種惡意程式聯手作案

OkoBot 不是一款單一惡意程式,而是一整套模組化的攻擊框架。卡巴斯基在 Securelist 技術报告 中詳細拆解了完整感染链:TookPS 下載器负责初始入侵 → SSH bot 收集系统资訊並建立反向隧道 → HDUtil 啟动器部署各惡意模組 → 最終透过 SFTP 送回竊取资料。

框架包含五種主要外掛:

  • CMD 包裝器(10xx):在系统中執行指令碼与个別指令
  • PowerShell 包裝器(11xx):支援 PowerShell 指令碼執行
  • 環境列舉器(12xx):收集系统资訊、活躍会話与行程
  • 下載器(14xx):从嵌入的 Base64 二进位 blob 或 URL 下載額外載荷
  • 行程注入器(16xx):將惡意植入物注入正常行程

SeedHunter:竊取 Ledger 与 Trezor 助記詞

其中一个核心模組 SeedHunter 会監控系统中的活躍行程,並將植入物注入 Trezor Suite、Ledger Wallet 和 Ledger Live 等应用程式。当偵測到连線的硬體钱包时,SeedHunter 会顯示硬編碼的釣鱼頁面,要求使用者输入助記詞。該頁面針对每種钱包型別使用不同的版面设计,竊取到的助記詞随后透过 RC4 加密送回 C2 伺服器。

卡巴斯基在官方新聞稿 中特別指出,OkoBot 的感染途徑主要包括 ClickFix 点选詐騙和透过 GitHub 分发的偽裝软體。研究人員识別出假 SQL Server Management Studio 安裝程式的案例,实际上是嵌入了惡意植入物的 Audacity 音訊編辑器。

OkoSpyware:同时錄製鍵盤与畫面

OkoBot 最新加入的 OkoSpyware 模組同时捕獲鍵盤输入与目標应用程式視窗的影片串流。它会列出超过 100 个可執行檔名稱,包含 Exodus、Litecoin QT 等加密钱包、KeePassXC、1Password 等密碼管理器,以及各種常用应用程式。对每个识別出的行程,OkoSpyware 使用內建的 FFmpeg 例項錄製 MP4 影片,同时記錄按鍵输入。

瀏覽器也不是例外,当 OkoSpyware 偵測到 MetaMask 或 Tonkeeper 等钱包擴充頁面的視窗標題时,会自动啟动錄影与输入記錄,並將視窗標題寫入 JSON 中继资料檔案。

超过一年持续活躍,开发者为主要目標

OkoBot 的感染链从 2025 年 4 月就已开始运作,至今已超过一年,且仍在持续进化。卡巴斯基研究員指出,被攻擊使用者最多的国家分別是巴西、越南、加拿大、墨西哥和土耳其。雖然目前无法確定歸因於特定犯罪集團,但技術分析发现俄羅斯语系程式碼痕跡,且惡意软體使用的竊密程式(Rilide)在俄羅斯语系的網路犯罪論壇上廣泛流通。

卡巴斯基在报告中警告,OkoBot 框架的持续进化顯示后臺維護者仍在積極开发。随著分发活动持续进行,該框架有潛力影響更多加密货币使用者与开发者。

LTC3.00%
查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 评论
  • 转发
  • 分享
评论
请输入评论内容
请输入评论内容
暂无评论
  • 置顶