Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Малициозната рамка OkoBot вметнува phishing страници за кражба на seed фрази во апликациите на Ledger и Trezor

Малициозна рамка наречена OkoBot се користи за напади врз Windows системи најмалку од април 2025 година, а еден од нејзините модули е специјално дизајниран да ги измами сопствениците на хардверски крипто-паричници да ја откријат својата seed (recovery) фраза.

На компромитиран компјутер, барањето за внесување на seed фразата се појавува во рамките на легитимната десктоп апликација на паричникот. Во некои случаи, малициозната страница се прикажува дури откако корисникот ќе го поврзе хардверскиот уред.

Иако страницата што бара внесување на seed фразата е малициозна, околната апликација е оригиналната што корисникот ја инсталирал, што го прави нападот особено убедлив. Со внесување на seed фразата, корисникот практично му ја предава контролата врз својот крипто-паричник на напаѓачот.

Истражувачкиот тим GReAT на Kaspersky во средата објави детална анализа на OkoBot, наведувајќи дека нивната телеметрија регистрирала стотици жртви во повеќе од 25 земји.

Најголем број на нападнати корисници се забележани во:

  • Бразил,
  • Виетнам,
  • Канада,
  • Мексико,
  • Турција.

Во извештајот не е наведено колку од жртвите навистина ја внеле својата seed фраза.

OkoBot содржи повеќе од 20 различни малициозни модули (payloads и implants) и, според извештајот објавен на 15 јули, сè уште е активно користен.

SeedHunter чека да биде поврзан хардверскиот паричник

SeedHunter е модулот на OkoBot задолжен за кражба на seed фразите.

Откако OkoBot ќе го компромитира системот, SeedHunter ги следи процесите на следните апликации:

  • Trezor Suite
  • Ledger Wallet
  • Ledger Live

Кога ќе пронајде една од нив, модулот се вметнува во процесот на апликацијата (inject) и ги модифицира нејзините Electron компоненти. Потоа воспоставува комуникација со својот командно-контролен (C2) сервер на доменот moonsand[.]store.

Доколку серверот испрати команда со активирано знаменце Wait, SeedHunter ги скенира USB уредите според нивниот Vendor ID и Product ID и мирува сè додека не биде поврзан вистински Ledger или Trezor уред.

Само тогаш се прикажува однапред подготвена страница за внесување на recovery фразата, со посебен изглед за секој бренд. Ако опцијата Wait не е активирана, страницата се појавува веднаш.

Внесената seed фраза се испраќа преку конзолата на страницата со ознаката @:app:print, по што модифицираната функција mal_LogConsoleMessage ја пресретнува и ја испраќа до напаѓачот во JSON формат. Дополнително, нејзина копија шифрирана со алгоритмот RC4 се зачувува во привремена датотека (temp file).

Хардверскиот паричник не е компромитиран

Истражувачите нагласуваат дека самиот хардверски паричник не е компромитиран.

Тој ја извршува својата основна функција – никогаш да не го открие приватниот криптографски клуч. Меѓутоа, не може да спречи легитимната придружна апликација, која е компромитирана, да побара од корисникот да ја внесе својата seed (recovery) фраза.

Ниту еден од овие механизми не е сосема нов. Moonlock Lab претходно документираше слични напади врз macOS, каде што малициозен софтвер ги заменувал легитимните апликации со лажни верзии. Исто така, The Hacker News известуваше за кампањи во кои малициозниот софтвер AMOS ја отстранувал оригиналната апликација Ledger Live и во папката /Applications инсталирал тројанизирана копија која од корисниците барала да ги внесат своите 24 зборови за обновување на паричникот.

GlassWorm користеше USB активирање на Windows во март

GlassWorm во март користеше активирање преку USB уреди на Windows системи, при што користеше WMI за да препознае кога е приклучен нов уред, а потоа го прикажуваше сопствениот прозорец откако ќе ја затвореше вистинската апликација.

Она што го менува SeedHunter е местото каде што се прикажува малициозната страница. Тој не ја гаси апликацијата, туку ја остава да работи и ја прикажува страницата внатре во самата апликација.

SSMS што всушност бил Audacity

Постоеле два главни начини на инфекција:

  1. ClickFix измама (lure)
  2. Тројанизиран софтвер објавен на GitHub

Репозиториумот што го анализирал Kaspersky се рекламирал како SQL Server Management Studio (SSMS). Сепак, она што навистина го испорачувал бил Audacity, популарниот аудио уредувач, повторно изграден со вметнат малициозен имплант во една од неговите библиотеки.

Тој проект бил рангиран како најпопуларен резултат за пребарување на SSMS. Активноста траела од крајот на март 2025 година до јуни.

Двата начини на инфекција го активираат TookPS, PowerShell преземач (downloader) што Kaspersky го следи од март 2025 година. Првично бил дистрибуиран преку лажни страници за DeepSeek, а потоа преку лажни страници за преземање деловен софтвер.

TookPS:

  • инсталира SSH;
  • воспоставува комуникација со сервер контролиран од напаѓачите;
  • го проследува локалниот SSH daemon порт;
  • останува активен и чека.

Подоцна, автоматизиран SSH бот се поврзува назад преку креираниот тунел.

Ботот го анализира компромитираниот систем, вклучувајќи го и инсталираниот антивирусен софтвер, а потоа преку тунелот извлекува:

  • датотеки од крипто-паричници;
  • колачиња (cookies);
  • профили од прелистувачи;
  • кориснички креденцијали.

Исто така, ги исклучува известувањата од Windows Defender преку промена во регистарот и си создава постојан пристап:

  • отвора заштитен ѕид (firewall) за влезни RDP врски;
  • додава сметка во групата Remote Desktop Users;
  • ја заменува termsrv.dll со изменета верзија што дозволува истовремени RDP сесии;
  • креира закажана задача наречена Apple Sync, која секој час повторно воспоставува обратен SSH тунел за локалниот RDP порт.

По ова, модулите пристигнуваат преку SFTP.

Лансер спакуван со VMProtect, наречен HDUtil, ги извршува модулите и може незабележливо да добие повисоки привилегии преку Windows RPC UAC bypass ранливост, која Project Zero ја документираше во 2019 година.

Последниот дел од инфекцискиот синџир

Последната испорака е Volume2, алатка со отворен код која содржи малициозна библиотека protobuf.dll.

Таа библиотека го дешифрира и стартува вистинскиот payload:

  • диспечеер на приклучоци (plugin dispatcher);
  • кој комуницира со C2 серверот на секои 20 секунди.

Kaspersky пронашол пет приклучоци. Еден од нив е process injector, а токму тој го поставува SeedHunter во системот.

Останати функции за надзор

Останатиот дел од алатникот е наменет за шпионирање.

OkoSpyware следи повеќе од 100 извршни датотеки, меѓу кои:

  • Exodus;
  • 1Password;
  • други апликации поврзани со чувствителни податоци.

Тој ги снима соодветните прозорци како MP4 датотеки преку вградениот FFmpeg и ги зачувува притиснатите копчиња.

Насловите на прелистувачките јазичиња се проверуваат со regex правила, па јазичиња како:

  • MetaMask;
  • Tonkeeper;

можат да бидат снимени.

MC Keylogger ги следи:

  • внесувањето преку тастатура;
  • таблата со исечоци (clipboard);
  • USB уреди;
  • прави слика од екранот на секои пет минути.

Лансерот инсталира скриени Chromium екстензии со доделени сите дозволи. Една од нив е Rilide, крадец на податоци од Chromium прелистувачи кој го користат рускојазични напаѓачи уште од април 2023 година.

Чија е оваа рамка?

Kaspersky не именува конкретен напаѓач:

„Не можеме да ја припишеме оваа малициозна кампања на ниту еден познат crimeware актер.“

Серверите што го хостираат првиот PowerShell стадиум враќаат празен одговор за IP адреси од Русија и земјите од ЗНД.

Rilide се дистрибуира преку форуми со ограничен пристап за рускојазични корисници.

SeedHunter phishing страниците содржат коментари на руски јазик. Сепак, тоа се само индиректни показатели, а извештајот ги третира како такви.

Нема ранливост во самиот паричник

Не постои CVE за крипто-паричниците и нема закрпа од производителите што директно го затвора овој начин на напад.

Нападот се случува на самиот компјутер (endpoint), а артефактите се доволно специфични за откривање:

  • закажана задача со име Apple Sync;
  • датотеки:
    • %PROGRAMDATA%\hwid.dat
    • %PROGRAMDATA%\HDVideo\HDUtil.exe
    • %USERPROFILE%\.ssh\go.bat
  • изменета termsrv.dll датотека;
  • сметки во групата Remote Desktop Users што никој не ги додал;
  • излезни SSH врски од кориснички компјутери;
  • екстензии во Local Extension Settings што не се појавуваат во листата на екстензии во прелистувачот.

Kaspersky ги објави хешовите и C2 домените поврзани со кампањата.

Производителите ја нагласуваат границата помеѓу безбедниот уред и компромитираниот компјутер:

  • Ledger наведува дека seed фразата никогаш не го напушта самиот Ledger уред.
  • Trezor Suite предупредува дека никогаш нема да побара од корисникот да ја внесе резервната фраза, иако кај Model One стандардното обновување дозволува внесување зборови преку Suite – но само кога тоа е побарано од самиот уред.

Страница што се појавува само затоа што сте го приклучиле уредот, додека на екранот на хардверскиот паричник нема никакво барање, е јасен знак за измама.

Редизајнот од март 2026 година

Во новата верзија од март 2026 година:

  • TeviRAT исчезнал;
  • синџирот HDUtil → extl → Rilide исчезнал;
  • функционалноста е обединета во еден диспечеер приклучок кој ја извршува истата задача;
  • Volume2 сега директно пристигнува преку TookPS.

Како што забележуваат истражувачите, напаѓачите обично не го поедноставуваат и не го чистат кодот на инфраструктура што планираат целосно да ја напуштат.

Извори:

  • The Hacker News – OkoBot Malware Framework Injects Seed Phrase Phishing Into Ledger and Trezor Apps The Hacker News