Nisan 2025'ten bu yana Windows makinelerinde aktif olan OkoBot adlı yeni bir kötü amaçlı yazılım çerçevesi, donanım cüzdan sahiplerini hedef alan sofistike bir modül içeriyor. Kaspersky'nin GReAT ekibi tarafından analiz edilen bu modül, SeedHunter adını taşıyor ve kullanıcıların kurtarma ifadelerini (seed phrase) çalmak için tasarlanmış. OkoBot, bulaştığı bilgisayarlarda Ledger ve Trezor gibi popüler donanım cüzdan uygulamalarının içine sızıyor ve kullanıcıya gerçek uygulama gibi görünen sahte bir kurtarma ifadesi sayfası gösteriyor. Bu sayede kullanıcılar, ifadelerini güvenli bir ortamda girdiklerini düşünürken aslında saldırganlara teslim ediyor.
SeedHunter modülü, OkoBot çerçevesi hedef sisteme yerleştikten sonra Trezor Suite, Ledger Wallet ve Ledger Live uygulamalarını izlemeye başlıyor. Bu uygulamalardan birini tespit ettiğinde, Electron tabanlı yapılarına enjeksiyon yaparak C2 sunucusuna bağlanıyor. Sunucudan gelen Wait bayrağına göre hareket eden modül, eğer bayrak aktifse, USB üzerinden gerçek bir Ledger veya Trezor cihazı bağlanana kadar bekliyor. Cihaz bağlandığında, markaya özel olarak kodlanmış bir kurtarma sayfası gösteriyor. Bayrak pasifse, sayfa hemen görüntüleniyor. Kullanıcının girdiği kurtarma ifadesi, sayfanın arka planında @:app:print işaretiyle konsola yazılıyor ve hooked mal_LogConsoleMessage fonksiyonu tarafından yakalanarak JSON formatında saldırganlara iletiliyor.
Bu saldırı yöntemi, donanım cüzdanın güvenlik mekanizmasını atlamıyor; cüzdan, özel anahtarı vermeyi reddederek görevini yerine getiriyor. Ancak saldırganlar, kullanıcıyı kandırarak kurtarma ifadesini doğrudan uygulama içinde girmeye ikna ediyor. Bu teknik yeni olmasa da SeedHunter'ı farklı kılan, sahte sayfayı uygulamanın kendi penceresi içinde göstermesi. Önceki saldırılarda olduğu gibi uygulamayı kapatıp sahte bir klon açmak yerine, gerçek uygulamanın içine yerleşiyor. Kaspersky, bu modülün 25'ten fazla ülkede yüzlerce kullanıcıyı hedef aldığını ve en çok etkilenen ülkeler arasında Brezilya, Vietnam, Kanada, Meksika ve Türkiye'nin bulunduğunu belirtiyor.
OkoBot'un bulaşma vektörleri arasında ClickFix tuzakları ve GitHub üzerinde yayılan trojanize yazılımlar yer alıyor. Kaspersky'nin incelediği bir GitHub reposu, SQL Server Management Studio (SSMS) olarak tanıtılmasına rağmen aslında Audacity ses düzenleyicisini kötü amaçlı bir kütüphane ile yeniden derlenmiş halde sunuyordu. Bu repo, Mart 2025'ten Haziran ayına kadar SSMS aramalarında üst sıralarda yer aldı. Her iki bulaşma yolu da TookPS adlı bir PowerShell indiricisini çalıştırıyor. TookPS, sisteme SSH kuruyor, saldırganın sunucusuna bağlanıyor ve SSH bağlantı noktasını yönlendiriyor. Ardından otomatik bir SSH botu, ters tünel üzerinden sisteme bağlanarak dosyaları, çerezleri, tarayıcı profillerini ve kimlik bilgilerini çalıyor.
Sistem Güvenliği
Saldırganlar, sistemde kalıcılık sağlamak için çeşitli yöntemler kullanıyor. Windows Defender bildirimlerini susturuyor, güvenlik duvarını RDP için açıyor, Remote Desktop Users grubuna bir hesap ekliyor ve aynı anda birden fazla RDP oturumuna izin vermek için termsrv.dll dosyasını değiştiriyor. Ayrıca Apple Sync adlı bir zamanlanmış görev oluşturarak her saat başı ters SSH tünelini yeniden kuruyor. Modüller SFTP üzerinden sisteme indiriliyor ve VMProtect ile paketlenmiş HDUtil adlı bir yükleyici tarafından çalıştırılıyor. Son aşamada ise Volume2 adlı açık kaynak bir araç, içindeki kötü amaçlı protobuf.dll dosyası aracılığıyla gerçek yükü çalıştırıyor: her 20 saniyede bir C2 sunucusunu yoklayan bir eklenti dağıtıcısı.
Kaspersky, bu kampanyayı belirli bir tehdit aktörüne atfetmiyor ancak bazı ipuçlarına dikkat çekiyor. İlk aşama PowerShell sunucuları, Rusya ve BDT ülkelerinden gelen IP'lere boş yanıt döndürüyor. Rilide adlı Chromium hırsızı, yalnızca davetli Rusça konuşan forumlarda dağıtılıyor ve SeedHunter'ın sahte sayfalarında Rusça yorumlar bulunuyor. Ledger ve Trezor ise kullanıcılarına asla kurtarma ifadelerini uygulama içinde girmemeleri gerektiğini hatırlatıyor. Cihaz ekranında herhangi bir talimat olmadan beliren bir kurtarma ifadesi sayfası, saldırı işareti olarak kabul edilmeli.
Kullanıcıların bu tür saldırılardan korunması için donanım cüzdanlarını yalnızca resmi kaynaklardan güncellemeleri, uygulama içinde istenmeyen kurtarma ifadesi girişlerine şüpheyle yaklaşmaları ve güvenilir antivirüs yazılımları kullanmaları öneriliyor. Kaspersky'nin raporu, OkoBot'un hala aktif olduğunu ve Mart 2026'da yeni bir sürümünün beklendiğini belirtiyor. Bu sürümde, mevcut HDUtil'den Rilide'ye uzanan zincirin tek bir eklentiye indirgeneceği ve Volume2'nin artık son aşama yükleyici olarak kullanılmayacağı ifade ediliyor.
Kaynak: thehackernews.com