ZCyberNews
English
恶意软件高危6 分钟阅读OkoBot

OkoBot: 新型复杂恶意软件框架瞄准加密货币

Kaspersky GReAT 解析 OkoBot,这是一个多阶段框架,使用 SSH 隧道和超过 20 个有效载荷来窃取加密货币钱包种子短语、浏览器数据和凭证。

Diagram of OkoBot infection chain showing TookPS initial access, SSH tunnel, and payload delivery stages

OkoBot:新复杂的恶意软件框架针对加密货币

执行摘要

卡巴斯基全球研究与分析团队(GReAT)发现了一个新的复杂的恶意软件框架,被称为OkoBot,它正在积极针对加密货币用户。首次观察到该框架是在2026年1月,该框架通过SSH隧道协调超过20种不同的恶意有效载荷和植入物,使攻击者能够窃取加密货币钱包种子短语、浏览器凭据和敏感文件。截至2026年7月,该活动仍在进行中,最初的感染向量包括ClickFix攻击和GitHub上的木马化软件包。

技术分析

根据卡巴斯基研究员Yaroslav Kikel的说法,OkoBot代表了从2025年3月首次发现的基于TookPS的活动的重大演变。该框架的感染链由四个紧密耦合的阶段组成,始于恶意PowerShell脚本TookPS的执行,该脚本在受害者的机器上安装SSH客户端,并建立到攻击者控制的服务器的持久反向隧道。

初始感染向量

攻击者依赖于两个主要的投递机制:

  • ClickFix攻击:社会工程提示,诱使用户运行恶意PowerShell命令。
  • 木马化的GitHub仓库:通过GitHub分发的假冒SQL Server Management Studio (SSMS)包,实际上捆绑了合法的Audacity音频编辑器,并在其一个库中嵌入了恶意植入物。该仓库从2025年3月存在到6月,并被搜索引擎索引,在与SSMS相关的查询中显得突出。

回连和系统侦察

一旦TookPS执行,自动SSH机器人连接到转发的端口并执行广泛的侦察:

  • 收集系统信息(用户名、防病毒软件、IP地址、操作系统版本)
  • 收集加密货币钱包文件、浏览器Cookie、配置文件和凭据
  • 通过注册表修改禁用Windows Defender通知
  • 打开防火墙端口以允许传入RDP流量,为远程桌面用户组创建用户,替换合法的termsrv.dll为修补版本以进行并发RDP会话,并创建名为“Apple Sync”的计划任务以维护反向SSH隧道

有效载荷投递和模块化架构

SSH机器人通过SFTP检索恶意模块。一个关键组件是HDUtil,这是一个用VMProtect保护并严重混淆的启动器。它通过target命令部署各种恶意模块,并实现了在分析的攻击中未观察到的三个辅助命令,表明有进一步的能力。

卡巴斯基识别出框架的两个不同版本。原始链使用了HDUtil → extl注入器 → Rilide窃贼。2026年3月发现的一个更新版本用ext_daemon Volume2插件替换了这个,并移除了TeviRAT,很可能是因为其功能被新的插件调度器吸收了。

恶意模块

该框架包括超过20种有效载荷,涵盖:

  • SeedHunter MC:从剪贴板和浏览器存储中提取加密货币钱包种子短语
  • 键盘记录器:捕获按键
  • OkoSpyware:监控基于Chromium的浏览器
  • 工件外泄:通过SSH隧道收集和外泄敏感文件
  • 插件调度器:协调模块执行
  • UAC绕过:提升权限

卡巴斯基检测名称包括Trojan-Downloader.Win32.TookPS., Trojan.Win64.BypassUAC., Trojan-Banker.Script.Agent.gen, 和 Backdoor.Win32.TeviRat.*等。

缓解措施与建议

防御者应监控来自端点的异常SSH出站连接,特别是那些由PowerShell脚本或计划任务发起的连接。拥有加密货币业务的组织应限制浏览器进程的剪贴板访问,并实施应用程序白名单以阻止未经授权的可执行文件。仔细审查源自GitHub的软件,特别是模仿SSMS等流行工具的包。卡巴斯基建议启用对列出的恶意软件家族的检测,并审计计划任务中名为“Apple Sync”或类似的可疑条目。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。

标签:#okobot#tookps#cryptocurrency-theft#ssh-tunnel#kaspersky#malware-framework

相关文章