OkoBot 恶意软件框架在 Ledger 与 Trezor 应用中注入助记词钓鱼

OkoBot 恶意软件框架在 Ledger 与 Trezor 应用中注入助记词钓鱼

导语:卡巴斯基 GReAT 团队披露了 OkoBot 恶意软件框架,其 SeedHunter 模块通过向 Ledger Live、Ledger Wallet 和 Trezor Suite 等正版桌面应用中注入钓鱼页面,诱骗硬件钱包用户输入助记词,受害者已覆盖逾 25 个国家。

一个名为 OkoBot 的恶意软件框架自 2025 年 4 月起持续在 Windows 机器上活动,其模块之一专门用来从硬件钱包用户手中骗取助记词(恢复短语)。在受感染的电脑上,钓鱼请求来自钱包桌面软件内部,有时它会耐心等待用户把硬件设备插上之后再出手。弹出的页面是恶意的,而把页面包起来的应用,恰恰是用户自己安装的正版应用,助记词本身就是钱包的全部。

卡巴斯基 GReAT 团队于本周三公布了这一拆解分析报告,根据其遥测数据,受害者覆盖超过 25 个国家,数量达数百人。受攻击用户占比最高的地区依次为巴西、越南、加拿大、墨西哥和土耳其。报告并未披露其中有多少人最终输入了助记词。OkoBot 携带超过 20 种载荷与植入程序,在 7 月 15 日报告发布之时仍处于活跃状态。

SeedHunter 是 OkoBot 中负责窃取助记词的模块。一旦框架落地,它便会监视 Trezor Suite、Ledger Wallet 以及 Ledger Live,无论发现哪一款,都会注入其中,并挂钩该应用的 Electron 内部接口。随后,它会向 C2 地址 moonsand[.]store 发起请求。如果服务器设置了一个等待标志(Wait flag),SeedHunter 会按供应商 ID 与产品 ID 扫描 USB,并保持静默,直到真正的 Ledger 或 Trezor 设备被插入。此时,它才会绘制一张硬编码的恢复页面,每个品牌对应一套版式。如果关闭该标志,页面会立即出现。用户输入的助记词会被发送到页面自身的控制台中,藏在一个 @:app:print 标记之下,并被挂钩的 mal_LogConsoleMessage 函数捕获。数据随后以 JSON 形式外传,同时还会通过 RC4 加密后写入一份临时文件作为副本。

硬件钱包本身并未被攻破。它忠实地执行了自身被设计完成的唯一职责——拒绝泄露私钥——却无法阻止其配套软件反过来向用户索要助记词。这一诡计的两个半部分都并非全新手法。Moonlock Lab 曾追踪过 macOS 上的窃密软件实施"应用替换"版本,The Hacker News 也报道过那些被克隆的 Ledger Live 应用:AMOS 会终结真正的 Ledger Live 进程,然后在 /Applications 下投放一个被植入木马的克隆版本,直接索要 24 个助记词。GlassWorm 在 3 月于 Windows 上实现了 USB 触发——借助 WMI 监听设备插入事件,然后在终止真实应用后弹出自己的窗口。SeedHunter 的不同之处在于页面绘制的位置:它让原应用继续运行,而把页面画在原应用内部。

原文配图

两条主要入侵路径分别是 ClickFix 诱饵,以及 GitHub 上的木马化软件。卡巴斯基拆解的某个代码仓库对外宣称提供 SQL Server Management Studio(SSMS),实际投递的却是音频编辑器 Audacity,其在某个库中嵌入了恶意植入程序。该仓库在 SSMS 关键词下排名靠前,存活时间从 2025 年 3 月底一直持续到 6 月。两条路径都会执行 TookPS——这是卡巴斯基自 2025 年 3 月就开始追踪的一款 PowerShell 下载器,起初通过伪造的 DeepSeek 页面传播,后又转向伪造的商业软件下载站点。它会安装 SSH,连接攻击者控制的服务器,转发本地 SSH 守护进程端口,并保持等待。之后,一个自动化 SSH 机器人会通过该隧道反向连回。模块在此之后通过 SFTP 投递。一款名为 HDUtil 的 VMProtect 加壳启动器负责运行这些模块,并可通过 Windows RPC UAC 绕过实现静默提权——该绕过方法由 Project Zero 于 2019 年公开记录。最终的投递载荷是 Volume2——一款携带恶意 protobuf.dll 的开源工具,它会解密并启动真正的载荷:一个每隔 20 秒轮询其 C2 的插件调度器。卡巴斯基恢复了五个插件,其中之一是进程注入器,正是它把 SeedHunter 部署到位。

套件中的其余部分以监控为主。OkoSpywatch 监视 100 多款可执行文件,Exodus 与 1Password 也在其中。它使用捆绑的 FFmpeg 将匹配的窗口录制成 MP4,并把键盘记录一并写入。浏览器标题使用正则匹配,使得 MetaMask 或 Tonkeeper 的标签页都会被记录。MC Keylogger 覆盖输入、剪贴板、USB 设备,并每 5 分钟截取一次屏幕。一款加载器会安装具有所有权限的隐藏 Chromium 扩展;实际安装的是 Rilide——一款自 2023 年 4 月起被俄语圈威胁行为者使用的 Chromium 窃密程序。

卡巴斯基拒绝点名任何行为者:"我们无法将此恶意活动归因于任何已知的犯罪软件组织。"承载第一阶段 PowerShell 的服务器对来自俄罗斯及独联体国家 IP 的请求返回空响应。Rilide 则流转于仅限受邀者进入的俄语论坛。SeedHunter 的钓鱼页面中带有俄语注释,但报告将其视为弱信号并如此处理。本次攻击不存在对应的钱包 CVE,也没有任何厂商补丁能够封堵该路径——它落在端点侧,而相关制品特征足够具体,可用于威胁狩猎。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/okobot-malware-framework-injects-seed.html

作者:info@thehackernews.com (The Hacker News)