Siber güvenlik dünyasında yeni bir tehdit ortaya çıktı: OkoBot. Kaspersky araştırmacıları tarafından keşfedilen bu kötü amaçlı yazılım çerçevesi, 20'den fazla farklı zararlı yükü tek bir saldırı zincirinde kullanarak kripto para cüzdanı kurtarma ifadelerini, tarayıcı çerezlerini, kimlik bilgilerini ve diğer hassas verileri hedef alıyor. OkoBot, özellikle ClickFix saldırıları ve meşru yazılım araçlarını taklit eden sahte GitHub depoları aracılığıyla yayılıyor. Bir vakada, saldırganlar SQL Server Management Studio (SSMS) sunduğunu iddia eden bir depo oluşturmuş, ancak aslında popüler ses düzenleme aracı Audacity'nin trojanize edilmiş bir sürümünü barındırıyordu.
Kaspersky'nin raporuna göre OkoBot kampanyası bir yıldan uzun süredir devam ediyor ve daha önce TookPS adlı kötü amaçlı PowerShell betiğini kullanan bir kampanyanın evrimi olarak ortaya çıktı. Ancak enfeksiyon zinciri tamamen değiştirilmiş durumda. Artık çok aşamalı bir saldırı süreci var ve ilk aşamada TookPS kullanılarak bir SSH botu kuruluyor. Bu bot, sistem bilgilerini (kullanıcı adı, antivirüs yazılımı, IP adresi, işletim sistemi sürümü) topluyor ve Windows Defender bildirimlerini devre dışı bırakıyor. Ayrıca kripto para cüzdan dosyalarını, tarayıcı çerezlerini ve hesap kimlik bilgilerini topluyor.
OkoBot'un en dikkat çekici modülleri arasında 'ext daemon/extl.exe' bulunuyor. Bu modül, Chrome tarayıcılarına sızarak Rilide gibi kötü amaçlı eklentileri sessizce yüklüyor ve gizliyor. Rilide, kimlik bilgilerini, çerezleri, finansal bilgileri ve kripto para ile ilgili verileri hedef alıyor. Bir diğer kritik modül olan 'SeedHunter', Trezor Suite, Ledger Wallet ve Ledger Live gibi popüler kripto para cüzdan uygulamalarına sızarak sahte bir kurtarma ifadesi ekranı gösteriyor. Kullanıcılar bu ekrana kurtarma ifadelerini girdiklerinde, saldırganlar bu ifadeleri çalarak kripto varlıklara tam erişim sağlıyor.
OkoBot ayrıca 'MC Keylogger' adlı bir tuş kaydedici ve 'OkoSpyware' adlı bir casus yazılım modülü içeriyor. MC Keylogger, klavye vuruşlarını ve pano aktivitelerini (kopyalanan metin, resim ve dosya yolları) kaydediyor, ayrıca USB bağlantılarını izleyip her 5 dakikada bir ekran görüntüsü alabiliyor. OkoSpyware ise 100'den fazla programı (kripto para cüzdanları, parola yöneticileri) izliyor ve FFmpeg kullanarak bu programların pencerelerini video olarak kaydediyor, ayrıca tuş vuruşlarını yakalıyor. Kaspersky, OkoBot'un kurbanlarının çoğunlukla Brezilya'da bulunduğunu, onu Vietnam, Kanada, Meksika ve Türkiye'nin takip ettiğini belirtiyor. Kampanyanın küresel bir erişimi var.
Kaspersky, OkoBot kampanyasını herhangi bir tehdit aktörüne atfetmese de, bazı ipuçları Rusça konuşan bir grubu işaret ediyor. Örneğin, SeedHunter modülünün kaynak kodunda Rusça yorumlar bulunuyor. Ayrıca, ilk aşamadaki PowerShell betiklerini barındıran sunuculara coğrafi kısıtlama uygulanmış; Rusya veya Bağımsız Devletler Topluluğu'ndan (BDT) gelen IP adreslerine yük teslim edilmiyor ve sunucu boş bir yanıt döndürüyor. Bu, saldırganların kendi bölgelerinden gelen trafiği engellemek istediğini gösteriyor. Ayrıca, kullanılan bilgi çalma yazılımının yalnızca davetiyeyle erişilebilen Rus siber suç forumlarında aktif olarak tanıtıldığı belirtiliyor.
Kripto para kullanıcıları için bu tehdit özellikle ciddi. Bir cüzdan kurtarma ifadesinin ele geçirilmesi, saldırganların kullanıcının tüm kripto varlıklarına tam erişim sağlaması anlamına geliyor ve bu fonların kurtarılması neredeyse imkansız. Kaspersky, OkoBot ile ilgili olarak kötü amaçlı eklentilerin, enjektör yüklerinin, SSH bot yardımcı programlarının, dosya yollarının, alan adlarının ve IP adreslerinin hash'lerini içeren bir tehlike göstergeleri listesi yayınladı. Kullanıcıların, özellikle GitHub gibi platformlardan indirdikleri yazılımlara karşı dikkatli olmaları, resmi kaynakları kullanmaları ve güçlü bir antivirüs yazılımı ile güncel kalmaları öneriliyor.
Kaynak: bleepingcomputer.com