OkoBot: Framework malware mới tấn công người dùng ví cứng Ledger và Trezor
Các nhà nghiên cứu từ Kaspersky đã phát hiện framework malware mang tên OkoBot, có khả năng chiếm đoạt cụm từ khôi phục (seed phrase) của người dùng ví cứng thông qua kỹ thuật phishing tinh vi ngay...
Một framework malware nguy hiểm mang tên OkoBot đang nhắm mục tiêu vào người dùng Windows kể từ tháng 4/2025. Điểm đáng chú ý nhất của chiến dịch này là module SeedHunter, được thiết kế để đánh cắp cụm từ khôi phục (seed phrase) của các loại ví cứng phổ biến như Ledger và Trezor.
Table Of Content
Cách thức hoạt động của SeedHunter
Thay vì tấn công trực tiếp vào thiết bị phần cứng (vốn có cơ chế bảo mật nghiêm ngặt), OkoBot xâm nhập vào phần mềm quản lý ví trên máy tính (như Ledger Live hoặc Trezor Suite). Khi nạn nhân kết nối ví, malware sẽ thực hiện kỹ thuật hook vào các thành phần nội bộ của ứng dụng (dựa trên nền tảng Electron) để hiển thị một trang web giả mạo ngay bên trong giao diện phần mềm chính chủ.
Người dùng thường bị đánh lừa vì trang web này xuất hiện đúng lúc họ cắm thiết bị vào máy. Dữ liệu seed phrase sau khi nhập sẽ được gửi về máy chủ C2 của kẻ tấn công dưới dạng JSON, đồng thời lưu một bản sao mã hóa RC4 trong tệp tạm của hệ thống.
Con đường lây nhiễm
Kaspersky ghi nhận hai phương thức phát tán chính:
- ClickFix: Các quảng cáo lừa đảo dẫn dụ người dùng.
- Phần mềm độc hại trên GitHub: Kẻ tấn công ngụy trang malware dưới dạng các phần mềm phổ biến (ví dụ: SQL Server Management Studio nhưng thực chất là trình chỉnh sửa âm thanh Audacity đã bị chèn mã độc).
Sau khi xâm nhập, malware sử dụng TookPS (một PowerShell downloader) để thiết lập kết nối SSH ngược, cho phép kẻ tấn công kiểm soát từ xa, vô hiệu hóa Windows Defender, và cài đặt hàng loạt module độc hại khác như Rilide (trình đánh cắp dữ liệu trình duyệt) và các công cụ theo dõi bàn phím, màn hình.
Dấu hiệu nhận biết và phòng tránh
Hiện tại không có lỗ hổng (CVE) nào từ phía nhà sản xuất ví cứng bị khai thác, vì đây là cuộc tấn công nhắm vào điểm cuối (endpoint) của người dùng. Các chuyên gia khuyến cáo người dùng cần kiểm tra các dấu hiệu sau:
- Sự xuất hiện của tác vụ định kỳ (scheduled task) có tên
Apple Sync. - Tệp tin lạ tại
%PROGRAMDATA%\hwid.dathoặc%PROGRAMDATA%\HDVideo\HDUtil.exe. - Tệp hệ thống
termsrv.dllbị thay đổi so với bản gốc. - Tài khoản lạ xuất hiện trong nhóm Remote Desktop Users.
- Các kết nối SSH bất thường từ máy tính cá nhân.
- Các tiện ích mở rộng (extension) ẩn trong trình duyệt không hiển thị trong danh sách quản lý thông thường.
Các nhà sản xuất ví cứng khẳng định rằng họ không bao giờ yêu cầu người dùng nhập seed phrase vào ứng dụng trên máy tính trừ khi có yêu cầu trực tiếp từ màn hình thiết bị phần cứng. Bất kỳ yêu cầu nhập cụm từ khôi phục nào xuất hiện đột ngột trên màn hình máy tính đều là dấu hiệu của hành vi lừa đảo.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.