Gefährliche Kombination

OkoBot greift Kryptowallets an und tarnt sich als legitime Software

Top Malware, Malware, Juli 2024

Kaspersky warnt vor einem neuen Malware-Framework, das gezielt auf Kryptowährungsnutzer und Entwickler abzielt.

OkoBot kann unter anderem Seed-Phrasen stehlen, Browser überwachen, Inhalte von Wallet-Anwendungen auslesen und weitere Schadsoftware nachladen.

Anzeige

Das von den Experten des Global Research and Analysis Teams (GReAT) von Kaspersky analysierte Framework besteht aus mehr als 20 verschiedenen Payloads und Implantaten. Die einzelnen Komponenten können Dateien sammeln, Remote-Befehle ausführen, Browser-Erweiterungen nachladen und Tastatureingaben sowie Bildschirminhalte aufzeichnen.

Besonders kritisch ist die Fähigkeit, Kryptowährungs-Wallets direkt anzugreifen. Das Framework kann Seed-Phrasen und Zugangsdaten abgreifen und über die Komponente TookPS weitere Malware-Familien wie den Rilide Stealer ausliefern.

Ein spezielles Modul manipuliert den Arbeitsspeicher von Browsern. Dadurch können schädliche Erweiterungen geladen und vor dem Nutzer verborgen werden. Ein weiteres Modul namens OkoSpyware überwacht Chromium-basierte Browser und kann sowohl Tastatureingaben als auch den Videostream eines ausgewählten Anwendungsfensters aufzeichnen.

Anzeige

Gefälschte Software und Social Engineering als Einstieg

Die Angreifer setzen offenbar auf mehrere Wege, um ihre Malware auf Systeme zu bringen. Eine zentrale Rolle spielen sogenannte ClickFix-Angriffe. Dabei werden Nutzer durch manipulierte Anleitungen oder gefälschte Hinweise dazu gebracht, selbst schädlichen Code auszuführen.

Daneben verbreitet sich OkoBot offenbar über GitHub. Dort wird die Malware als vermeintlich legitime Software angeboten. Kaspersky entdeckte unter anderem einen gefälschten Installer für SQL Server Management Studio, ein weit verbreitetes Werkzeug für die Verwaltung von Datenbanken.

Gerade Entwickler könnten dadurch besonders gefährdet sein. Wer Software, Tools oder Hilfsprogramme aus nicht verifizierten Quellen herunterlädt, kann sich die Malware unbemerkt auf das eigene System holen.

SeedHunter manipuliert Wallet-Anwendungen

Zu den besonders auffälligen Komponenten des Frameworks gehört SeedHunter. Die Malware überwacht laufende Prozesse und kann sich in Anwendungen wie Trezor Suite, Ledger Wallet und Ledger Live einschleusen.

Wird ein angeschlossenes Hardware-Wallet erkannt, aktiviert SeedHunter manipulierte Funktionsaufrufe. Anschließend erscheint eine gefälschte Eingabemaske, die speziell auf den jeweiligen Wallet-Typ zugeschnitten ist. Ziel ist es, die Seed-Phrase des Nutzers abzugreifen.

Der Angriff ist deshalb besonders gefährlich, weil die gefälschten Oberflächen an die jeweilige Wallet-Anwendung angepasst werden. Nutzer könnten dadurch den Eindruck gewinnen, eine legitime Sicherheits- oder Wiederherstellungsabfrage zu sehen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Kampagne bleibt schwer zuzuordnen

Nach aktuellem Kenntnisstand lässt sich OkoBot keinem bekannten Bedrohungsakteur eindeutig zuordnen. Die technische Analyse weist jedoch auf mögliche Verbindungen zu russischsprachigen Cyberkriminellen hin. Dafür sprechen unter anderem russischsprachige Code-Artefakte sowie Techniken, die in der Vergangenheit häufiger bei russischsprachigen Akteuren beobachtet wurden.

Die Kampagne richtet sich nicht nur gegen Nutzer in einer bestimmten Region. Betroffene beziehungsweise Ziele wurden unter anderem in Deutschland, Brasilien, Vietnam, Kanada, Mexiko und der Türkei beobachtet.

Dmitry Galov, Head of Russia and CIS im GReAT-Team von Kaspersky, weist darauf hin, dass die Kampagne bereits seit mehr als einem Jahr aktiv ist und weiterhin weiterentwickelt wird.

„Die beobachteten Infektionswege deuten stark darauf hin, dass Entwickler zu den Hauptzielen gehören. Besonders besorgniserregend ist die kontinuierliche Weiterentwicklung der Malware, die zeigt, dass das Framework aktiv gepflegt wird“, erklärt Galov.

Die fortlaufende Entwicklung deutet darauf hin, dass OkoBot nicht als einmaliges Malware-Projekt betrachtet werden sollte. Vielmehr handelt es sich um ein aktiv gepflegtes Framework, dessen Komponenten und Verbreitungswege weiter angepasst werden können.

So lassen sich Krypto-Wallets besser schützen

Nutzer sollten besonders vorsichtig sein, wenn eine Webseite oder eine Anleitung dazu auffordert, unbekannten Code auszuführen oder Sicherheitsfunktionen zu deaktivieren. Auch Software, Spiele-Modifikationen, Cheats und Dienstprogramme aus nicht vertrauenswürdigen Quellen können ein Einfallstor darstellen.

Darüber hinaus sollten Betriebssysteme und Anwendungen regelmäßig aktualisiert werden. Für Online-Konten und Wallet-Dienste empfiehlt sich die Verwendung einzigartiger Passwörter sowie – sofern verfügbar – eine zusätzliche Multifaktor-Authentifizierung.

Seed-Phrasen und andere Wiederherstellungsdaten sollten nicht in Notizen, Fotogalerien oder ungeschützten Dateien gespeichert werden. Entscheidend ist außerdem, dass Nutzer bei Wallet-Anwendungen genau prüfen, aus welcher Quelle eine Software stammt und ob eine angezeigte Eingabeaufforderung tatsächlich von der offiziellen Anwendung stammt.

Die Analyse von Kaspersky zeigt damit, wie sich moderne Malware zunehmend auf den Diebstahl von Kryptowährungszugängen spezialisiert. OkoBot kombiniert dabei Spionagefunktionen, Browser-Manipulation und Social Engineering zu einer Angriffskette, die vor allem dann gefährlich wird, wenn Nutzer vermeintlich legitimer Software oder Anweisungen blind vertrauen.

(red/Kaspersky)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.