Kripto Cüzdanları Hedef Alan OkoBot Malware Framework: Seed Phrase Çalan Yeni Tehdit Yazılım

Kripto Cüzdanları Hedef Alan OkoBot Malware Framework: Seed Phrase Çalan Yeni Tehdit

OkoBot, Windows'ta Ledger ve Trezor uygulamalarına sızarak seed phrase'leri çalan yeni bir malware framework. 25'ten fazla ülkede yüzlerce kurban tesp

Nisan 2025'ten bu yana Windows makinelerinde aktif olan OkoBot adlı kötü amaçlı yazılım çerçevesi, kripto para donanım cüzdanı kullanıcılarını hedef alan yeni bir modülle dikkat çekiyor. Kaspersky GReAT ekibinin 15 Temmuz 2025'te yayımladığı analize göre, OkoBot'un SeedHunter adlı modülü, kullanıcıları kandırarak kurtarma ifadelerini (seed phrase) ele geçiriyor. Saldırı, kullanıcının bilgisayarına bulaşan yazılımın, gerçek Ledger veya Trezor masaüstü uygulamasının içine sahte bir pencere yerleştirmesiyle gerçekleşiyor. Kaspersky telemetrisi, 25'ten fazla ülkede yüzlerce kurban tespit ederken, en çok etkilenen ülkeler Brezilya, Vietnam, Kanada, Meksika ve Türkiye olarak sıralanıyor.

SeedHunter modülü, OkoBot'un diğer bileşenleriyle birlikte çalışarak kullanıcının cüzdan uygulamasına (Trezor Suite, Ledger Wallet veya Ledger Live) sızıyor. Modül, uygulamanın Electron altyapısına müdahale ederek, komuta kontrol (C2) sunucusundan (moonsand[.]store) talimat alıyor. Eğer sunucuda 'Wait' bayrağı ayarlanmışsa, SeedHunter USB bağlantılarını izliyor ve gerçek bir Ledger veya Trezor cihazı takılana kadar bekliyor. Cihaz takıldığında, markaya özel, önceden kodlanmış sahte bir kurtarma sayfası gösteriyor. Kullanıcı ifadeyi yazdığında, veriler @app:print marker ile konsola gönderiliyor ve ardından RC4 şifreli bir JSON dosyası olarak geçici bir klasöre kaydediliyor. Bu teknik, donanım cüzdanının güvenliğini aşmak yerine, kullanıcıyı doğrudan ifadesini vermeye ikna ediyor.

SeedHunter'ın yeniliği, sahte sayfayı uygulamanın dışında değil, içinde göstermesi. Bu, kullanıcının gerçek uygulama içinde bir iletişim kutusuyla karşılaşmasını sağlıyor ve şüpheyi azaltıyor. Önceki saldırılarda (Moonlock Lab'ın macOS'ta tespit ettiği AMOS ve GlassWorm gibi) uygulama kapatılıp yerine klon bir sürüm konuluyordu. OkoBot ise uygulamayı çalışır halde bırakıp içine sızıyor. Kaspersky, OkoBot'un 20'den fazla yük ve implant taşıdığını ve halen aktif olduğunu belirtiyor.

Gelecekte Ne Bekleniyor?

OkoBot'un bulaşma yolları arasında ClickFix tuzakları ve GitHub'da trojanize edilmiş yazılımlar bulunuyor. Kaspersky'nin incelediği bir GitHub reposu, SQL Server Management Studio (SSMS) vaat ediyor ancak aslında Audacity ses düzenleyicisinin kötü amaçlı bir sürümünü barındırıyordu. Bu repo, Mart 2025'ten Haziran 2025'e kadar SSMS aramalarında üst sıralarda yer aldı. Her iki bulaşma yolu da TookPS adlı bir PowerShell indiricisini çalıştırıyor. TookPS, SSH kurarak saldırganın sunucusuna tünel açıyor ve daha sonra otomatik bir SSH botu aracılığıyla sistemdeki dosyaları, tarayıcı profillerini ve kimlik bilgilerini çalıyor. Bot ayrıca Defender bildirimlerini susturuyor, RDP için güvenlik duvarını açıyor, yeni bir kullanıcı hesabı oluşturuyor ve 'Apple Sync' adlı bir zamanlanmış görev ile her saat başı ters SSH tünelini yeniliyor.

İlk bulaşmanın ardından modüller SFTP üzerinden geliyor. VMProtect ile paketlenmiş HDUtil adlı bir yükleyici, Windows RPC UAC atlatma yöntemiyle (2019'da Project Zero tarafından belgelenmiş) yetki yükseltme yapabiliyor. Son aşamada, Volume2 adlı açık kaynak bir araç, kötü amaçlı bir protobuf.dll ile birlikte geliyor ve gerçek yükü çalıştırıyor: her 20 saniyede bir C2'yi yoklayan bir eklenti dağıtıcısı. Kaspersky beş eklenti tespit etti; bunlardan biri SeedHunter'ı yerleştiren süreç enjektörü.

Uzmanların Görüşleri

Diğer eklentiler ise gözetleme amaçlı. OkoSpyware, Exodus ve 1Password gibi 100'den fazla yürütülebilir dosyayı izliyor, ilgili pencereleri FFmpeg ile MP4 olarak kaydediyor ve tuş vuruşlarını logluyor. MC Keylogger, giriş, pano, USB cihazları ve her beş dakikada bir ekran görüntüsü alıyor. Ayrıca, Nisan 2023'ten beri Rusça konuşan tehdit aktörleri tarafından kullanılan Rilide adlı bir Chromium hırsızı, tüm izinlere sahip gizli bir tarayıcı eklentisi olarak yükleniyor. Kaspersky, bu kampanyayı bilinen bir suç grubuna atfetmiyor, ancak ilk aşama sunucularının Rusya ve BDT IP'lerine boş yanıt döndürmesi ve Rilide'in davetli Rusça forumlarda paylaşılması dikkat çekiyor. SeedHunter'ın sahte sayfalarındaki Rusça yorumlar da zayıf sinyaller olarak değerlendiriliyor.

Kullanıcılar için en önemli korunma yöntemi, donanım cüzdanı uygulamalarının asla kurtarma ifadesini istemeyeceğini bilmek. Ledger, 'ifade asla Ledger dışına çıkmaz' derken, Trezor Suite de 'yedeklemenizi yazmanızı istemeyiz' diyor. Ancak Model One için standart kurtarma işlemi, cihaz istediğinde Suite içinde ifadenin yazılmasını gerektirebiliyor. Bu nedenle, cihaz takıldığında ve ekranda herhangi bir talimat olmadan bir sayfa açılırsa, bu bir tuzak işaretidir. Kaspersky, tespit için şu göstergeleri paylaşıyor: Apple Sync zamanlanmış görevi, %PROGRAMDATA%\hwid.dat veya HDUtil.exe dosyaları, termsrv.dll'de değişiklik ve Remote Desktop Users grubunda şüpheli hesaplar. Kullanıcıların resmi güncellemeleri takip etmesi ve yalnızca güvenilir kaynaklardan yazılım indirmesi kritik önem taşıyor.

Kaynak: thehackernews.com

Paylaş: