OkoBot Kötü Amaçlı Yazılımı, Ledger ve Trezor Uygulamalarına Kurtarma İfadesi Fidye Yazılımı Enjekte Ediyor Linux

OkoBot Kötü Amaçlı Yazılımı, Ledger ve Trezor Uygulamalarına Kurtarma İfadesi Fidye Yazılımı Enjekte Ediyor

OkoBot adlı kötü amaçlı yazılım, Nisan 2025'ten beri Windows cihazlarda dolaşıyor ve SeedHunter modülüyle Ledger/Trezor uygulamalarına sahte kurtarma

Nisan 2025'ten bu yana Windows makinelerinde faaliyet gösteren OkoBot adlı bir kötü amaçlı yazılım çerçevesi, donanım cüzdan sahiplerini hedef alan bir modül içeriyor. Kaspersky'nin GReAT ekibi tarafından yayımlanan rapora göre, SeedHunter adlı bu modül, kullanıcıların kurtarma ifadelerini (seed phrase) çalmak için tasarlanmış. Kötü amaçlı yazılım, bulaştığı bilgisayarda gerçek cüzdan uygulamasının içine sızıyor ve kullanıcıyı cihazı bağladığında ya da doğrudan sahte bir kurtarma sayfasıyla karşı karşıya bırakıyor. Kaspersky telemetrisi, 25'ten fazla ülkede yüzlerce mağdur tespit etmiş; en çok etkilenen ülkeler arasında Brezilya, Vietnam, Kanada, Meksika ve Türkiye yer alıyor.

SeedHunter, OkoBot çerçevesinin kurtarma ifadesini çalan modülü. Hedef sisteme yerleştikten sonra Trezor Suite, Ledger Wallet ve Ledger Live uygulamalarını izliyor, bulduğu uygulamaya enjekte oluyor ve Electron iç yapısına müdahale ediyor. Ardından moonsand[.]store adresindeki C2 sunucusuna sorgu gönderiyor. Sunucu bir Wait bayrağı ayarlamışsa, SeedHunter USB bağlantılarını tarıyor ve gerçek bir Ledger veya Trezor cihazı bağlanana kadar bekliyor. Cihaz bağlandığında, markaya özel sabit kodlanmış bir kurtarma sayfası görüntülüyor. Bayrak kapalıysa sayfa hemen açılıyor. Kullanıcının yazdığı ifade, sayfanın konsoluna @:app:print işaretiyle gönderiliyor ve hooked fonksiyon mal_LogConsoleMessage tarafından yakalanıyor. Veriler JSON formatında dışarı sızdırılıyor ve bir kopyası RC4 şifreli olarak geçici dosyaya kaydediliyor.

Bu saldırıda donanım cüzdanı aslında kırılmıyor; cüzdan, özel anahtarı vermeyi reddederek işlevini yerine getiriyor. Ancak, eşlik eden yazılımın sizden kurtarma ifadesini istemesini engelleyemiyor. Saldırının iki yönü de yeni değil; Moonlock Lab, macOS'ta benzer bir taktik kullanan kötü amaçlı yazılımları izlerken, THN de klonlanmış Ledger Live uygulamalarını haberleştirmişti. SeedHunter'ın yeniliği, sahte sayfayı gerçek uygulamanın içinde çizmesi; uygulamayı kapatıp kendi penceresini açmak yerine, gerçek uygulamanın arayüzünde sahte bir sayfa gösteriyor.

OkoBot'un bulaşma yolları arasında ClickFix tuzakları ve GitHub'da trojanize edilmiş yazılımlar bulunuyor. Kaspersky'nin incelediği bir GitHub deposu, SQL Server Management Studio (SSMS) olarak tanıtılmış ancak gerçekte Audacity ses düzenleyicisinin kötü amaçlı bir kopyasını barındırıyordu. Bu repo, Mart 2025'ten Haziran'a kadar SSMS aramalarında üst sıralarda yer aldı. Her iki yol da TookPS adlı bir PowerShell indiricisini çalıştırıyor. TookPS, SSH kuruyor, saldırganın sunucusuna tünel açıyor, yerel SSH bağlantı noktasını yönlendiriyor ve otomatik bir SSH botunun bağlanmasını bekliyor.

SSH bot, sistemi antivirüs yazılımına kadar tarıyor, ardından cüzdan dosyaları, çerezler, tarayıcı profilleri ve kimlik bilgilerini tünel üzerinden dışarı sızdırıyor. Windows Defender bildirimlerini bir kayıt defteri girdisiyle susturuyor ve sistemi uzaktan kontrol için hazırlıyor: Güvenlik duvarında RDP'ye izin veriyor, Remote Desktop Users grubuna yeni bir hesap ekliyor, termsrv.dll dosyasını eşzamanlı RDP oturumlarına izin veren yamalı bir sürümle değiştiriyor ve Apple Sync adlı zamanlanmış görevle her saat başı ters SSH tünelini yeniden oluşturuyor.

Modüller, SFTP üzerinden geldikten sonra VMProtect ile paketlenmiş HDUtil adlı bir yükleyici tarafından çalıştırılıyor. HDUtil, Project Zero tarafından 2019'da belgelenen bir Windows RPC UAC atlatma yöntemiyle sessizce yükseltme yapabiliyor. Son aşamada, Volume2 adlı açık kaynak bir yardımcı program, kötü amaçlı protobuf.dll dosyasını taşıyor ve gerçek yükü başlatıyor: her 20 saniyede bir C2 sunucusunu sorgulayan bir eklenti yöneticisi. Kaspersky, beş eklenti tespit etmiş; bunlardan biri süreç enjektörü olup SeedHunter'ı devreye sokuyor.

OkoBot'un diğer modülleri gözetleme amaçlı. OkoSpyware, Exodus ve 1Password dahil 100'den fazla yürütülebilir dosyayı izliyor; eşleşen pencereleri FFmpeg ile MP4 olarak kaydediyor ve tuş vuruşlarını logluyor. Tarayıcı başlıkları regex ile eşleştiriliyor, böylece MetaMask veya Tonkeeper sekmeleri kaydediliyor. MC Keylogger, giriş, pano, USB cihazları ve her beş dakikada bir ekran görüntüsü alıyor. Bir yükleyici, tüm izinlere sahip gizli Chromium uzantıları yüklüyor; Rilide adlı bu uzantı, Nisan 2023'ten beri Rusça konuşan tehdit aktörleri tarafından kullanılan bir Chromium hırsızı.

Sistem Güvenliği

Kaspersky, bu kampanyayı herhangi bir bilinen siber suç aktörüne atfetmiyor. Ancak, ilk aşama PowerShell sunucularının Rusya ve BDT IP'lerine boş yanıt döndürmesi, Rilide'nin davetiyeyle Rusça forumlarda dolaşması ve SeedHunter sayfalarındaki Rusça yorumlar, kampanyanın Rusça konuşan bir aktör tarafından yürütüldüğüne işaret ediyor. Bu güvenlik açığı, donanım cüzdanında değil, uç noktada; bu nedenle belirli izler takip edilebilir: Apple Sync zamanlanmış görevi, %PROGRAMDATA% altındaki dosyalar, değiştirilmiş termsrv.dll, Remote Desktop Users grubuna eklenen hesaplar, kullanıcı uç noktalarından giden SSH trafiği ve tarayıcı eklenti listesinde görünmeyen uzantılar. Kaspersky'nin raporunda hash'ler ve C2 alan adları yer alıyor. Ledger ve Trezor, cihazlarının kurtarma ifadesini asla istemediğini vurguluyor; eğer bir sayfa cihaz bağlandığında ve cihaz ekranında herhangi bir uyarı olmadan açılıyorsa, bu bir tuzaktır.

Kaynak: thehackernews.com

Paylaş: