OkoBot Malware Framework injecteert Seed Phrase Phishing in Ledger- en Trezor-apps

Een malwareframework genaamd OkoBot draait sinds april 2025 op Windows-machines en een van de modules is gebouwd om eigenaren van hardwareportemonnees uit hun herstelzin te halen.

Op een geïnfecteerde pc komt het verzoek vanuit de eigen desktopsoftware van de portemonnee. Soms wacht het totdat u het apparaat eerst aansluit. De pagina is kwaadaardig. De app eromheen is de echte app die je hebt geïnstalleerd en de zinsnede is de portemonnee.

Kaspersky’s GReAT-team publiceerde de demontage woensdag en telde honderden slachtoffers via telemetrie in meer dan 25 landen. Het grootste deel van de aangevallen gebruikers bevindt zich in Brazilië, Vietnam, Canada, Mexico en Türkiye.

Hoeveel van hen een zin hebben getypt, staat niet in het rapport. OkoBot heeft meer dan twintig ladingen en implantaten aan boord en was nog steeds actief vanaf het rapport van 15 juli.

SeedHunter wacht op het apparaat

ZaadHunter is de OkoBot-module die de zin steelt. Zodra het raamwerk is geland, let het op Trezor Suite, Ledger Wallet en Ledger Live, injecteert het in wat het maar vindt en koppelt het aan de Electron-internals van de app. Dan vraagt ​​hij zijn C2 om moonsand(.)store.

Als de server een Wait flag, SeedHunter scant USB op leverancier en product-ID en blijft stil totdat een echte Ledger of Trezor wordt aangesloten. Alleen dan tekent het een hardgecodeerde herstelpagina, één lay-out per merk. Als de vlag uit is, verschijnt de pagina onmiddellijk. De getypte zin gaat naar de eigen console van de pagina achter een @:app:print marker, en de gehaakte mal_LogConsoleMessage pakt het op. Het vertrekt als JSON, met een RC4-kopie in een tijdelijk bestand.

Het is niet de hardware portemonnee die kapot gaat. Het doet precies waarvoor het is gebouwd, namelijk weigeren de sleutel op te geven, en het kan de begeleidende software er niet van weerhouden om u in plaats daarvan om de zin te vragen.

Geen van beide helften van de truc is nieuw. Moonlock Lab volgde macOS-stelers die de swapversie deden, en THN deed verslag van die gekloonde Ledger Live-apps: AMOS doodde Ledger Live en liet een getrojaniseerde kloon erin vallen /Applications eist de 24 woorden.

GlassWorm deed in maart de USB-trigger op Windows, waarbij hij WMI gebruikte om een ​​apparaat te detecteren dat binnenkwam, en vervolgens zijn eigen venster omhoog gooide nadat de echte app was uitgeschakeld. Wat SeedHunter verandert, is waar de pagina wordt getekend. Het laat de app actief en trekt erin.

De SSMS die eigenlijk durf was

Er zijn twee manieren: een ClickFix-lokmiddel en getrojaniseerde software op GitHub. De repository die Kaspersky uit elkaar haalde, maakte reclame voor SQL Server Management Studio. Wat het leverde was Audacity, de audio-editor, opnieuw opgebouwd met een kwaadaardig implantaat in een van de bibliotheken. Het stond bovenaan SSMS. Hij leefde van eind maart 2025 tot juni.

Beide paden voeren TookPS uit, een PowerShell-downloader die Kaspersky sinds maart 2025 volgt, toen deze valse DeepSeek-pagina’s gebruikte en vervolgens valse downloadsites voor bedrijfssoftware. Het installeert SSH, belt een door de aanvaller bestuurde server, stuurt de lokale SSH-daemonpoort door en wacht. Later maakt een geautomatiseerde SSH-bot verbinding via de tunnel.

De bot inventariseert de box tot aan de geïnstalleerde AV en sleept vervolgens portefeuillebestanden, cookies, browserprofielen en inloggegevens door de tunnel. Het legt Defender-meldingen stil met een registerschrijfbewerking en bouwt voor zichzelf een bureau:

  1. Opent de firewall voor binnenkomende RDP
  2. Voegt een account toe aan de groep Extern bureaublad-gebruikers
  3. Vervangt termsrv.dll met een gepatchte build die gelijktijdige RDP-sessies mogelijk maakt
  4. Registreert een aangeroepen geplande taak Apple Sync die elk uur een omgekeerde SSH-tunnel voor de lokale RDP-poort opnieuw opbouwt

Modules arriveren daarna via SFTP. Een VMProtect-verpakte launcher genaamd HDUtil voert ze uit en kan ze geruisloos verhogen via een Windows RPC UAC-bypass die Project Zero in 2019 documenteerde.

De laatste levering is Volume2, een open-sourcehulpprogramma met een kwaadaardig protobuf.dll dat decodeert en de echte payload start: een plug-in-dispatcher die elke 20 seconden zijn C2 ondervraagt. Kaspersky heeft vijf plug-ins hersteld. De ene is een procesinjector, en dat is waar SeedHunter op zijn plek zit.

De rest van de kit is bewaking. OkoSpyware let op meer dan 100 uitvoerbare bestanden, waaronder Exodus en 1Password. Het filmt het overeenkomende venster met MP4 met een gebundelde FFmpeg en registreert daarin toetsaanslagen.

Browsertitels komen overeen met regex, dus een MetaMask- of Tonkeeper-tabblad wordt opgenomen. MC Keylogger omvat invoer, klembord, USB-apparaten en maakt elke vijf minuten een screenshot. Een lader installeert verborgen Chromium-extensies met elke verleende toestemming; Rilide, een Chromium-steeler die sinds april 2023 door Russischsprekende bedreigingsactoren wordt gebruikt, is wat het heeft geïnstalleerd.

Van wie is het raamwerk?

Kaspersky wil geen acteur noemen: “we kunnen deze kwaadaardige campagne niet toeschrijven aan een bekende crimeware-acteur.” De servers die de PowerShell van de eerste fase hosten, retourneren een leeg antwoord op Russische en GOS-IP’s. Rilide beweegt zich op Russischtalige forums die alleen op uitnodiging toegankelijk zijn.

De phishingpagina’s van SeedHunter bevatten Russisch commentaar. Dat zijn zachte signalen, en het rapport behandelt ze ook als zodanig.

Er is geen portemonnee-CVE en geen leverancierspatch die deze route afsluit. Het landt in plaats daarvan op het eindpunt en de artefacten zijn specifiek genoeg om op te jagen:

  • Een geplande taak met de naam Apple Sync
  • %PROGRAMDATA%hwid.dat, %PROGRAMDATA%HDVideoHDUtil.exe, %USERPROFILE%.sshgo.bat
  • termsrv.dll gewijzigd ten opzichte van de verzonden versie
  • Accounts in Remote Desktop-gebruikers die niemand heeft toegevoegd
  • Uitgaande SSH vanaf gebruikerseindpunten
  • Uitbreidingen binnen Local Extension Settings die nooit in de extensielijst van de browser verschijnen

Het bericht van Kaspersky bevat de hashes en C2-domeinen. De leveranciers trekken de grens bij het apparaat. Ledger zegt dat de zinsnede nergens anders heen gaat dan de Ledger zelf.

Trezor Suite zegt dat het u nooit zal vragen om uw back-up te typen, hoewel het standaardherstel van een Model One de woorden in Suite wel gebruikt, en alleen wanneer het apparaat daarom vraagt. Een pagina die verschijnt omdat u de stekker in het stopcontact hebt gestoken, zonder dat er iets op het scherm van het apparaat achter staat, is de verklikker.

Dan de wederopbouw van maart 2026. TeviRAT is verdwenen. De HDUtil om uit te breiden naar Rilide-keten is verdwenen, opgevouwen in een enkele dispatcher-plug-in die hetzelfde werk doet. Volume2 komt nu rechtstreeks van TookPS. Niemand snoeit een codebase waarvan hij op het punt staat weg te lopen.

Thijs Van der Does