V-Help
← 全部新闻
安全

OkoBot:新型恶意软件平台窃取加密钱包与用户数据

OkoBot:新型恶意软件平台窃取加密钱包与用户数据

图片: BleepingComputer

简要回答

OkoBot是一个恶意框架,通过20个模块窃取加密货币种子短语、登录凭据、浏览器Cookies及其他敏感信息。

卡巴斯基公司的专家发现了一种名为OkoBot的新型恶意软件平台,该平台通过超过20个模块窃取加密货币钱包、用户凭据及其他敏感信息。攻击者利用ClickFix钓鱼攻击与GitHub假仓库传播恶意软件,这些仓库常伪装成合法软件。例如,某个仓库曾提供被感染的Audacity音频编辑器,冒充SQL Server Management Studio。

OkoBot的攻击活动始于2025年1月,最初由名为TookPS的脚本演变而来。如今,该恶意软件采用多阶段感染链,首个阶段部署SSH机器人。该机器人会关闭Windows Defender通知,收集系统信息(用户名、杀毒软件、IP地址、操作系统版本),并窃取加密钱包文件、浏览器Cookies及用户凭据。

OkoBot的核心模块包括:ext daemon/extl.exe,该模块会植入Chrome浏览器,隐蔽安装类似Rilide的扩展(窃取登录凭据、Cookies及财务数据);SeedHunter,该模块会篡改Trezor Suite与Ledger的界面,显示虚假的种子短语恢复屏幕;MC Keylogger,该模块会记录键盘输入、剪贴板内容,并每5分钟截取一次屏幕。此外,OkoSpyware还会监控100个应用程序(包括加密钱包与密码管理器),并录制其窗口视频。

根据卡巴斯基的数据,OkoBot的主要受害者位于巴西、越南、加拿大、墨西哥和土耳其,但攻击具有全球性。攻击者服务器会屏蔽俄罗斯及独联体国家的IP请求,且在SeedHunter模块的代码中发现了俄语注释。结合在俄语论坛上推广的信息窃取软件,这表明可能有俄语网络犯罪分子参与其中。

常见问题

什么是OkoBot?
OkoBot是一个恶意框架,用于窃取加密货币钱包、用户凭据及其他敏感信息,主要通过钓鱼攻击与GitHub假仓库传播。
OkoBot如何运作?
攻击者通过多阶段感染链传播恶意软件,首先部署SSH机器人禁用Windows Defender并收集系统信息,随后激活数据窃取模块,包括加密钱包种子短语。
OkoBot的主要受害者是谁?
大部分受害者位于巴西、越南、加拿大、墨西哥和土耳其,但攻击具有全球性。攻击者服务器会屏蔽俄罗斯及独联体国家的IP请求。
分享:

Dzen 订阅: /feed/dzen.xml · RSS: /feed.xml

为何可信

本文由 V-Help 编辑部根据一手来源整理,并标注发布日期。

发布: V-Help.ru 新闻编辑部

来源: BleepingComputer