OkoBot Çerçevesi: 20 Farklı Zararlıyla Kripto Para ve Verilerinizi Hedef Alan Yeni Tehdit Siber Güvenlik

OkoBot Çerçevesi: 20 Farklı Zararlıyla Kripto Para ve Verilerinizi Hedef Alan Yeni Tehdit

OkoBot çerçevesi, 20'den fazla zararlı yük ile kripto para cüzdan tohum ifadelerini, kimlik bilgilerini ve hassas verileri hedef alıyor.

Siber güvenlik dünyasında yeni bir tehdit ortaya çıktı: OkoBot. Bu kötü amaçlı yazılım çerçevesi, kripto para cüzdan tohum ifadeleri, kimlik bilgileri ve diğer hassas verileri çalmak için 20'den fazla farklı yük kullanıyor. Kaspersky araştırmacılarına göre OkoBot, ClickFix saldırıları veya meşru yazılım araçlarını taklit eden sahte GitHub depoları aracılığıyla kurbanlara ulaşıyor. Örneğin, bir GitHub deposu SQL Server Management Studio (SSMS) sunduğunu iddia ederken aslında Audacity ses düzenleme aracının truva atı bulaşmış bir sürümünü indiriyor.

OkoBot kampanyası, bir yıldan uzun süredir devam ediyor ve daha önce TookPS adlı kötü amaçlı PowerShell betiğini dağıtan faaliyetlerden evrildi. Ancak enfeksiyon zinciri tamamen değişti; artık çok aşamalı bir saldırı süreci var. İlk aşamada TookPS kullanılarak bir SSH botu kuruluyor ve yapılandırılıyor. Bu bot, diğer kötü amaçlı bileşenleri dağıtmaktan sorumlu. Ayrıca sistem bilgilerini (kullanıcı adı, antivirüs yazılımı, IP adresi, işletim sistemi sürümü) topluyor ve Windows Defender bildirimlerini devre dışı bırakıyor. SSH botu, kripto para cüzdan dosyalarını, tarayıcı çerezlerini ve hesap kimlik bilgilerini de ele geçiriyor.

OkoBot'un kullandığı 20 modül arasında en dikkat çekici olanları şunlar: 'ext daemon/extl.exe' Chrome tarayıcılarına enjekte olarak Rilide gibi kötü amaçlı uzantıları sessizce yükler ve gizler. Bu uzantılar kimlik bilgileri, çerezler, finansal bilgiler ve kripto para ile ilgili verileri hedef alır. 'SeedHunter' modülü ise Trezor Suite, Ledger Wallet ve Ledger Live uygulamalarına enjekte olarak sahte bir tohum kurtarma ekranı görüntüler. Bu ekran, kurbanların cüzdan kurtarma ifadelerini çalmak için tasarlanmıştır. 'MC Keylogger' tuş vuruşlarını ve pano aktivitelerini kaydeder; kopyalanan metin, resim ve dosya yollarını izler. Ayrıca USB bağlantılarını izleyebilir ve her 5 dakikada bir ekran görüntüsü alabilir.

Teknik Analiz

OkoSpyware modülü, kripto para cüzdanları ve parola yöneticileri gibi 100 programı izler. FFmpeg kullanarak bu programların pencerelerini videoya kaydeder ve tuş vuruşlarını yakalar. Unutulmamalıdır ki bir cüzdan kurtarma ifadesi, kullanıcının kripto para varlıklarına tam erişim sağlar. Saldırganlar bu ifadeyi ele geçirirse, fonları kendi kontrollerindeki cüzdanlara aktarabilir ve bu işlemin geri döndürülmesi neredeyse imkansızdır.

Sistem Güvenliği

Kaspersky telemetrisi, OkoBot kurbanlarının çoğunun Brezilya'da olduğunu gösteriyor. Bunu Vietnam, Kanada, Meksika ve Türkiye takip ediyor. Ancak kampanyanın erişimi küresel çapta. OkoBot faaliyetleri ilk olarak Ocak ayında gözlemlendi ve Mart 2025'ten beri devam eden TookPS kampanyasının bir evrimi olarak ortaya çıktı. Kaspersky, OkoBot kampanyasını herhangi bir tehdit aktörüne atfetmese de, saldırının ilk aşamasındaki PowerShell betiklerini barındıran sunuculara coğrafi kısıtlama uygulandığını belirtiyor. Rusya veya Bağımsız Devletler Topluluğu (BDT) bölgesinden gelen IP adresleri kullanıldığında yükler teslim edilmiyor ve sunucu boş bir yanıt döndürüyor.

Önemli Gelişmeler

Rusça konuşan bir tehdit aktörüne işaret eden diğer ipuçları arasında SeedHunter modülünün kaynak kodunda Rusça yorumlar bulunması ve yalnızca davetiyeyle erişilebilen Rus siber suç forumlarında aktif olarak tanıtılan bir bilgi hırsızı kullanılması yer alıyor. Kaspersky'nin raporu, kötü amaçlı eklentilerin, enjektör yüklerinin, SSH bot yardımcı programlarının, dosya yollarının, alan adlarının ve IP adreslerinin hash'lerini içeren bir dizi tehlike göstergesi sunuyor. Kullanıcıların, özellikle kripto para ile ilgili işlemlerde, güvenilir olmayan kaynaklardan yazılım indirmemeleri ve ClickFix türü saldırılara karşı dikkatli olmaları öneriliyor.

Kaynak: bleepingcomputer.com

Paylaş: