卡巴斯基曝光OkoBot的20模块加密货币钱包攻击

网友贡献12小时前发布 领域OK
2 0 0

 风险提示:防范以"数字货币""区块链"名义进行非法集资的风险

概述

卡巴斯基揭露了OkoBot,这是一个已活跃一年的恶意软件操作,使用约20个模块窃取加密货币钱包恢复短语,并已影响至少五个国家的用户。该恶意软件主要影响巴西、越南、加拿大、墨西哥和土耳其的用户,操作者屏蔽了来自俄罗斯及其他独联体国家的IP地址。OkoBot利用虚假恢复屏幕、键盘记录、间谍软件和ClickFix命令攻击受害者。

欧易
欧易(OKX)

全球三大交易所之一,注册领50U数币盲盒,币圈常用的交易平台!

币安
币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

攻击手法

OkoBot通过GitHub存储库分发,伪装成合法软件,包括Microsoft SQL Server Management Studio。攻击者依靠ClickFix社会工程方法,诱骗受害者在自己的设备上运行恶意命令。该方法通常向用户显示虚假错误消息、验证步骤或修复说明。遵循这些指示会导致受害者执行安装恶意软件的代码,而不会意识到该命令是恶意的。

模块分析

在OkoBot的模块中,SeedHunter显示与Ledger和Trezor等硬件钱包相关的虚假恢复界面。当用户将恢复短语输入欺诈屏幕时,该模块将信息发送给恶意软件操作者。第二个模块名为MC Keylogger,记录键盘输入并监控剪贴板活动,从而捕获密码、复制的钱包地址和其他凭证。OkoSpyware可以跟踪钱包密码并录制打开窗口的视频,为攻击者提供另一种观察受感染设备活动的方式。一旦恢复短语暴露,攻击者就可以利用它来控制相关钱包并转移其资产。受害者几乎没有机会追回被盗的加密货币,因为区块链转账通常是不可逆的。该恶意软件的模块化设计还允许其操作者从单个受感染系统中收集不同类型的信息,包括钱包访问数据以及连接到设备上使用的其他服务的凭据。

相关攻击活动

OkoBot是最近发现的使用ClickFix针对加密货币行业的恶意软件活动。4月,朝鲜支持的Lazarus集团在名为“Mach-O Man”的macOS活动中使用了相同的技术。CertiK发现,该集团向金融科技和加密货币高管发送虚假在线会议邀请。受害者被指示将所谓的修复或验证命令粘贴到macOS终端中,从而安装能够窃取加密货币和公司信息的恶意软件。该工具包在运行后自行删除,使取证分析更加困难。该活动将社会工程与终端级命令相结合,而不是仅依赖恶意文件下载。

此外,5月发现的TrapDoor恶意软件通过被投毒的软件包传播,针对加密货币、去中心化金融、人工智能和安全基础设施领域的开发者。该恶意软件寻找钱包数据、API密钥、云凭证和SSH访问权限,这些权限与Coinbase、Binance、MetaMask、Brave、Solana、Sui和Aptos等服务和生态系统相关联。研究人员还发现了隐藏的提示,旨在操纵Claude和Cursor运行虚假安全扫描,从而暴露秘密并将其传输给攻击者。

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
none
暂无评论...