OkoBot: 新型复杂恶意软件框架瞄准加密货币
Kaspersky GReAT 解析 OkoBot,这是一个多阶段框架,使用 SSH 隧道和超过 20 个有效载荷来窃取加密货币钱包种子短语、浏览器数据和凭证。

OkoBot:新复杂的恶意软件框架针对加密货币
执行摘要
卡巴斯基全球研究与分析团队(GReAT)发现了一个新的复杂的恶意软件框架,被称为OkoBot,它正在积极针对加密货币用户。首次观察到该框架是在2026年1月,该框架通过SSH隧道协调超过20种不同的恶意有效载荷和植入物,使攻击者能够窃取加密货币钱包种子短语、浏览器凭据和敏感文件。截至2026年7月,该活动仍在进行中,最初的感染向量包括ClickFix攻击和GitHub上的木马化软件包。
技术分析
根据卡巴斯基研究员Yaroslav Kikel的说法,OkoBot代表了从2025年3月首次发现的基于TookPS的活动的重大演变。该框架的感染链由四个紧密耦合的阶段组成,始于恶意PowerShell脚本TookPS的执行,该脚本在受害者的机器上安装SSH客户端,并建立到攻击者控制的服务器的持久反向隧道。
初始感染向量
攻击者依赖于两个主要的投递机制:
- ClickFix攻击:社会工程提示,诱使用户运行恶意PowerShell命令。
- 木马化的GitHub仓库:通过GitHub分发的假冒SQL Server Management Studio (SSMS)包,实际上捆绑了合法的Audacity音频编辑器,并在其一个库中嵌入了恶意植入物。该仓库从2025年3月存在到6月,并被搜索引擎索引,在与SSMS相关的查询中显得突出。
回连和系统侦察
一旦TookPS执行,自动SSH机器人连接到转发的端口并执行广泛的侦察:
- 收集系统信息(用户名、防病毒软件、IP地址、操作系统版本)
- 收集加密货币钱包文件、浏览器Cookie、配置文件和凭据
- 通过注册表修改禁用Windows Defender通知
- 打开防火墙端口以允许传入RDP流量,为远程桌面用户组创建用户,替换合法的
termsrv.dll为修补版本以进行并发RDP会话,并创建名为“Apple Sync”的计划任务以维护反向SSH隧道
有效载荷投递和模块化架构
SSH机器人通过SFTP检索恶意模块。一个关键组件是HDUtil,这是一个用VMProtect保护并严重混淆的启动器。它通过target命令部署各种恶意模块,并实现了在分析的攻击中未观察到的三个辅助命令,表明有进一步的能力。
卡巴斯基识别出框架的两个不同版本。原始链使用了HDUtil → extl注入器 → Rilide窃贼。2026年3月发现的一个更新版本用ext_daemon Volume2插件替换了这个,并移除了TeviRAT,很可能是因为其功能被新的插件调度器吸收了。
恶意模块
该框架包括超过20种有效载荷,涵盖:
- SeedHunter MC:从剪贴板和浏览器存储中提取加密货币钱包种子短语
- 键盘记录器:捕获按键
- OkoSpyware:监控基于Chromium的浏览器
- 工件外泄:通过SSH隧道收集和外泄敏感文件
- 插件调度器:协调模块执行
- UAC绕过:提升权限
卡巴斯基检测名称包括Trojan-Downloader.Win32.TookPS., Trojan.Win64.BypassUAC., Trojan-Banker.Script.Agent.gen, 和 Backdoor.Win32.TeviRat.*等。
缓解措施与建议
防御者应监控来自端点的异常SSH出站连接,特别是那些由PowerShell脚本或计划任务发起的连接。拥有加密货币业务的组织应限制浏览器进程的剪贴板访问,并实施应用程序白名单以阻止未经授权的可执行文件。仔细审查源自GitHub的软件,特别是模仿SSMS等流行工具的包。卡巴斯基建议启用对列出的恶意软件家族的检测,并审计计划任务中名为“Apple Sync”或类似的可疑条目。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
