Nisan 2025'ten bu yana Windows makinelerde aktif olan OkoBot adlı kötü amaçlı yazılım çerçevesi, donanım cüzdanı sahiplerini hedef alan bir modül içeriyor. SeedHunter adlı bu modül, kullanıcıların kurtarma ifadelerini (seed phrase) çalmak için tasarlanmış. Kaspersky'nin GReAT ekibinin raporuna göre, saldırı 25'ten fazla ülkede yüzlerce kurbana ulaştı ve en çok etkilenen ülkeler Brezilya, Vietnam, Kanada, Meksika ve Türkiye oldu.
SeedHunter, OkoBot çerçevesinin bir parçası olarak çalışıyor. Hedef bilgisayara sızdıktan sonra Trezor Suite, Ledger Wallet veya Ledger Live uygulamalarını tespit ediyor ve Electron altyapısına enjekte oluyor. Ardından C2 sunucusuna (moonsand.store) bağlanıyor. Sunucu 'Bekle' (Wait) bayrağı gönderirse, SeedHunter USB üzerinden gerçek bir Ledger veya Trezor cihazının takılmasını bekliyor. Cihaz takıldığında, markaya özel bir kurtarma sayfası görüntülüyor. Bekleme bayrağı yoksa sayfa hemen açılıyor. Kullanıcının girdiği ifade, sayfanın konsolundaki @:app:print etiketiyle yakalanıyor ve mal_LogConsoleMessage fonksiyonu sayesinde JSON formatında C2'ye iletilirken RC4 şifreli bir kopyası geçici dosyaya kaydediliyor.
Saldırının yenilikçi yanı, sahte kurtarma sayfasının gerçek uygulama içinde gösterilmesi. Daha önceki saldırılarda (Moonlock Lab'ın macOS hırsızları veya GlassWorm'un USB tetiklemeli yöntemi gibi) uygulama kapatılıp sahte bir klon açılıyordu. SeedHunter ise uygulamayı çalışır halde bırakıp içine bir sayfa enjekte ediyor. Bu, kullanıcının şüphelenmesini zorlaştırıyor. Donanım cüzdanı güvenliği aşılmıyor; ancak kullanıcı, cihazın asla istememesi gereken kurtarma ifadesini yazmaya ikna ediliyor.
OkoBot'un bulaşma vektörleri arasında ClickFix türü tuzaklar ve GitHub üzerinden dağıtılan trojanize yazılımlar bulunuyor. Kaspersky'nin incelediği bir GitHub deposu, SQL Server Management Studio (SSMS) olarak tanıtılmasına rağmen aslında Audacity ses düzenleyicisinin kötü amaçlı bir kopyasını barındırıyordu. Bu yazılım, TookPS adlı bir PowerShell indiricisi çalıştırıyor. TookPS, SSH kurulumu yapıp saldırganın sunucusuna tünel açıyor. Ardından otomatik bir SSH botu bağlanarak sistemi tarıyor, cüzdan dosyalarını, çerezleri, tarayıcı profillerini ve kimlik bilgilerini çalıyor. Ayrıca Windows Defender bildirimlerini susturup güvenlik duvarını RDP için açıyor, Uzak Masaüstü Kullanıcıları grubuna hesap ekliyor ve 'Apple Sync' adlı zamanlanmış görevle saat başı ters SSH tüneli yeniden oluşturuyor.
Modüller, SFTP üzerinden yükleniyor. HDUtil adlı VMProtect korumalı bir yükleyici, bunları çalıştırıp Windows RPC UAC atlatma yöntemiyle (Project Zero'nun 2019'da belgelediği) sessizce yükseltiyor. Son olarak Volume2 adlı açık kaynak bir yardımcı program, protobuf.dll içindeki kötü amaçlı kodu çalıştırarak gerçek yükü başlatıyor. Bu yük, 20 saniyede bir C2'ye sorgu gönderen bir eklenti dağıtıcısı. Kaspersky beş eklenti tespit etti; bunlardan biri SeedHunter'ı yerleştiren süreç enjektörü.
Diğer eklentiler ise casusluk amaçlı. OkoSpyware, Exodus ve 1Password gibi 100'den fazla uygulamayı izleyip ilgili pencereyi MP4 olarak kaydediyor ve tuş vuruşlarını logluyor. MC Keylogger, giriş, pano, USB cihazları ve beş dakikada bir ekran görüntüsü alıyor. Ayrıca gizli Chromium eklentileri yükleniyor; bunlardan biri Rilide (Nisan 2023'ten beri Rusça konuşan tehdit aktörlerinin kullandığı bir Chromium hırsızı).
Kaspersky, kampanyayı belirli bir tehdit aktörüne atfetmiyor. Ancak bazı yumuşak sinyaller var: İlk aşama PowerShell sunucuları Rusya ve BDT IP'lerine boş yanıt döndürüyor; Rilide yalnızca davetli Rusça forumlarda dolaşıyor; SeedHunter'ın sahte sayfalarında Rusça yorumlar bulunuyor. Raporda bu sinyallerin kesin olmadığı vurgulanıyor.
Sonuç ve Değerlendirme
Kullanıcılar için en önemli korunma yöntemi, donanım cüzdanı uygulamasının asla kurtarma ifadesini istemeyeceğini bilmek. Ledger ve Trezor, ifadenin yalnızca cihazda kalması gerektiğini belirtiyor. Şüpheli durumlarda 'Apple Sync' görevi, %PROGRAMDATA%\hwid.dat dosyası, değiştirilmiş termsrv.dll veya bilinmeyen Uzak Masaüstü hesapları gibi göstergeler aranabilir. Kaspersky'nin tam raporu, hash'ler ve C2 alan adlarını içeriyor.
Kaynak: thehackernews.com