Yeni OkoBot Çerçevesi 20 Farklı Yük ile Kripto Para ve Veri Hırsızlığı Yapıyor Windows

Yeni OkoBot Çerçevesi 20 Farklı Yük ile Kripto Para ve Veri Hırsızlığı Yapıyor

OkoBot, kripto para cüzdan tohum ifadelerini ve kimlik bilgilerini çalmak için 20'den fazla yük kullanan yeni bir kötü amaçlı yazılım çerçevesidir.

Siber güvenlik dünyası, kripto para kullanıcılarını hedef alan yeni bir tehditle karşı karşıya: OkoBot. Kaspersky araştırmacıları tarafından keşfedilen bu kötü amaçlı yazılım çerçevesi, 20'den fazla farklı yükü devreye sokarak kripto para cüzdan tohum ifadeleri, oturum açma bilgileri ve diğer hassas verileri çalıyor. OkoBot, ClickFix saldırıları veya meşru yazılım araçlarını taklit eden sahte GitHub depoları aracılığıyla kurbanlarına ulaşıyor. Örneğin, bir GitHub deposu SQL Server Management Studio (SSMS) sunduğunu iddia ederken, aslında Audacity ses düzenleme aracının truva atı bulaşmış bir sürümünü indiriyor. Bu kampanya, bir yılı aşkın süredir devam ediyor ve daha önce TookPS adlı PowerShell betiğini kullanan bir faaliyetten evrilmiş durumda.

OkoBot'un enfeksiyon zinciri, tamamen değiştirilmiş ve çok aşamalı hale getirilmiş. İlk aşamada TookPS, bir SSH botu kurmak ve yapılandırmak için kullanılıyor. Bu bot, diğer kötü amaçlı bileşenleri dağıtıyor. SSH botu ayrıca sistem bilgilerini (kullanıcı adı, antivirüs yazılımı, IP adresi, işletim sistemi sürümü) topluyor ve Windows Defender bildirimlerini devre dışı bırakıyor. Bunun yanı sıra, kripto para cüzdan dosyalarını, tarayıcı çerezlerini ve hesap kimlik bilgilerini topluyor. OkoBot'un kullandığı 20 modülden en dikkat çekicileri arasında ext daemon/extl.exe, SeedHunter, MC Keylogger ve OkoSpyware bulunuyor.

ext daemon/extl.exe modülü, Chrome tarayıcılarına enjekte olarak Rilide gibi kötü amaçlı uzantıları sessizce yüklüyor ve gizliyor. Rilide, kimlik bilgilerini, çerezleri, finansal bilgileri ve kripto para ile ilgili verileri hedef alıyor. SeedHunter ise Trezor Suite, Ledger Wallet ve Ledger Live gibi popüler kripto para cüzdan uygulamalarına enjekte oluyor ve sahte bir tohum kurtarma ekranı göstererek kullanıcıların cüzdan kurtarma ifadelerini çalıyor. MC Keylogger, tuş vuruşlarını ve pano etkinliğini kaydediyor; kopyalanan metin, resim ve dosya yollarını topluyor; ayrıca USB bağlantılarını izleyip her 5 dakikada bir ekran görüntüsü alabiliyor. OkoSpyware ise 100'den fazla programı (kripto para cüzdanları, parola yöneticileri) izliyor ve FFmpeg kullanarak bu programların pencerelerini videoya kaydediyor ve tuş vuruşlarını yakalıyor.

Önemli Gelişmeler

Kripto para kullanıcıları için en kritik tehlike, cüzdan kurtarma ifadelerinin (seed phrase) çalınmasıdır. Bu ifadeler, kullanıcının tüm kripto varlıklarına tam erişim sağlar. Saldırganlar bu ifadeleri ele geçirdiğinde, fonları kendi kontrollerindeki cüzdanlara aktarabilir ve bu işlemin geri alınması neredeyse imkansızdır. OkoBot, bu ifadeleri çalmak için özel olarak tasarlanmış SeedHunter modülünü kullanıyor. Kaspersky telemetrisine göre, OkoBot kurbanlarının çoğu Brezilya'da bulunuyor, onu Vietnam, Kanada, Meksika ve Türkiye takip ediyor. Ancak kampanya küresel bir erişime sahip.

Gelecekte Ne Bekleniyor?

OkoBot faaliyeti ilk olarak Ocak ayında gözlemlendi ve Mart 2025'ten beri devam eden TookPS kampanyasının bir evrimi olarak tanımlandı. Kaspersky, OkoBot kampanyasını belirli bir tehdit aktörüne atfetmese de, araştırmacılar saldırının ilk aşamasındaki PowerShell betiklerini barındıran sunuculara erişimin coğrafi olarak engellendiğini fark etti. Rusya veya Bağımsız Devletler Topluluğu (BDT) bölgesinden bir IP adresi kullanıldığında, sunucu boş bir yanıt döndürüyor ve yükler teslim edilmiyor. Ayrıca, SeedHunter modülünün kaynak kodunda Rusça yorumlar bulunması ve davet gerektiren Rusça siber suç forumlarında tanıtılan bir bilgi hırsızının kullanılması, Rusça konuşan bir tehdit aktörüne işaret ediyor.

Sonuç ve Değerlendirme

Kaspersky'nin raporu, kötü amaçlı eklentilerin, enjektör yüklerinin, SSH bot yardımcı programlarının, dosya yollarının, alan adlarının ve IP adreslerinin hash'lerini içeren bir göstergeler seti sunuyor. Kullanıcıların, bilinmeyen kaynaklardan yazılım indirmemeleri, GitHub depolarını dikkatle incelemeleri ve güvenilir bir antivirüs yazılımı kullanmaları öneriliyor. Ayrıca, kripto para cüzdanlarında tohum ifadelerinin çevrimdışı ve güvenli bir yerde saklanması, şüpheli ekranlara karşı dikkatli olunması büyük önem taşıyor. OkoBot, kripto para kullanıcıları için ciddi bir tehdit oluşturmaya devam ediyor.

Kaynak: bleepingcomputer.com

Paylaş: