OkoBot: wieloetapowy framework malware do kradzieży danych i kryptowalut - Security Bez Tabu

OkoBot: wieloetapowy framework malware do kradzieży danych i kryptowalut

Cybersecurity news

Wprowadzenie do problemu / definicja

OkoBot to nowoczesny framework złośliwego oprogramowania zaprojektowany do prowadzenia wieloetapowych kampanii kradzieży danych. Jego operatorzy koncentrują się na pozyskiwaniu poświadczeń, ciasteczek przeglądarek, danych sesyjnych, plików portfeli kryptowalutowych oraz fraz odzyskiwania seed, które mogą umożliwić pełne przejęcie aktywów cyfrowych ofiary.

Zagrożenie wyróżnia się modularną architekturą. Oznacza to, że jeden incydent może obejmować wdrożenie wielu wyspecjalizowanych komponentów, z których każdy realizuje odrębne zadanie operacyjne, od rozpoznania środowiska po kradzież danych i utrwalanie dostępu.

W skrócie

OkoBot jest rozpowszechniany m.in. przez kampanie ClickFix oraz złośliwe repozytoria podszywające się pod legalne narzędzia. Framework może dostarczać ponad 20 różnych komponentów malware odpowiedzialnych za przechwytywanie danych z przeglądarek, keylogging, monitoring aktywności użytkownika i kradzież fraz seed portfeli kryptowalutowych.

  • atakuje użytkowników indywidualnych i organizacje,
  • wykorzystuje wieloetapowy łańcuch infekcji,
  • celuje w przeglądarki, menedżery haseł i portfele kryptowalutowe,
  • może obchodzić część zabezpieczeń dzięki kradzieży sesji i ciasteczek,
  • stanowi szczególne ryzyko dla podmiotów operujących aktywami cyfrowymi.

Kontekst / historia

Kampania związana z OkoBot ma być rozwinięciem wcześniejszej aktywności kojarzonej ze skryptem PowerShell o nazwie TookPS. Wskazuje to na stopniową ewolucję działań napastników od prostszych mechanizmów dostarczania szkodliwego kodu do rozbudowanego ekosystemu modułów realizujących różne funkcje ofensywne.

Taka zmiana zwiększa elastyczność operatorów. Poszczególne elementy mogą być aktywowane zależnie od profilu ofiary, wartości środowiska lub oczekiwanych danych, co jednocześnie utrudnia detekcję i analizę incydentu.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od nakłonienia ofiary do uruchomienia złośliwego kodu albo pobrania trojanizowanego oprogramowania. Jednym z opisanych scenariuszy było wykorzystanie repozytorium podszywającego się pod legalne narzędzie administracyjne, co wpisuje się w rosnący trend nadużywania zaufania do platform deweloperskich i projektów open source.

Po uruchomieniu początkowego komponentu malware wykorzystywany jest PowerShell odpowiedzialny za instalację i konfigurację bota SSH. Ten etap służy jako punkt pośredni dla dalszych działań: zbierane są podstawowe informacje o systemie, w tym nazwa użytkownika, wersja systemu operacyjnego, adres IP oraz obecność oprogramowania ochronnego. Jednocześnie podejmowane są próby ograniczenia widoczności zagrożenia.

Na kolejnych etapach OkoBot dostarcza wyspecjalizowane moduły. Szczególnie istotny jest komponent wstrzykujący kod do przeglądarek opartych na Chromium w celu cichej instalacji i ukrywania złośliwych rozszerzeń. Taka technika może wspierać przechwytywanie sesji, ciasteczek, danych uwierzytelniających oraz informacji finansowych.

Wyjątkowo groźny jest także moduł SeedHunter, który ingeruje w działanie aplikacji portfeli sprzętowych i programowych. Poprzez fałszywe ekrany odzyskiwania portfela próbuje skłonić użytkownika do wpisania frazy seed. Dla przestępców jest to jeden z najcenniejszych artefaktów, ponieważ umożliwia odtworzenie portfela i przejęcie środków bez potrzeby dalszej interakcji z ofiarą.

Dodatkowe komponenty, takie jak keylogger i spyware, rozszerzają zakres kradzionych informacji. Obejmować one mogą:

  • naciśnięcia klawiszy,
  • zawartość schowka,
  • ścieżki plików i obrazy,
  • podłączanie nośników USB,
  • zrzuty ekranu,
  • nagrania okien wybranych aplikacji.

Wskazywana zdolność monitorowania około stu aplikacji, w tym menedżerów haseł i portfeli kryptowalutowych, pokazuje wysoki poziom specjalizacji kampanii. Opisywano również oznaki filtracji geograficznej podczas dostarczania części ładunków, co może ograniczać ekspozycję operatorów i zmniejszać ryzyko szybkiego wykrycia.

Konsekwencje / ryzyko

Ryzyko związane z OkoBot nie ogranicza się do klasycznej kradzieży haseł. Przejęcie ciasteczek sesyjnych może umożliwić obejście części mechanizmów MFA, a pozyskanie danych z przeglądarek może prowadzić do przejęcia kont pocztowych, usług SaaS, paneli administracyjnych i zasobów firmowych.

W środowisku organizacyjnym taka kompromitacja może stać się punktem wyjścia do dalszego ruchu lateralnego, eskalacji uprawnień lub wdrożenia kolejnych rodzin malware. Najpoważniejsze skutki dotyczą jednak portfeli kryptowalutowych. Ujawnienie frazy seed oznacza w praktyce utratę kontroli nad aktywami, a odzyskanie środków jest zazwyczaj bardzo trudne lub niemożliwe.

Modularność OkoBot zwiększa również trwałość zagrożenia. Nawet jeśli jeden komponent zostanie wykryty, inne moduły mogą nadal realizować cele napastnika. Dla zespołów SOC i DFIR oznacza to konieczność pełnej analizy incydentu zamiast skupiania się wyłącznie na pojedynczym pliku lub procesie.

Rekomendacje

Organizacje powinny potraktować OkoBot jako zagrożenie wielowarstwowe i odpowiednio dostosować mechanizmy obronne. Kluczowe jest ograniczenie możliwości uruchamiania niezweryfikowanych skryptów PowerShell, binariów pobieranych spoza zatwierdzonych źródeł oraz nieautoryzowanych rozszerzeń przeglądarkowych.

  • wdrożyć application allowlisting i kontrolę integralności oprogramowania,
  • monitorować PowerShell uruchamiany z nietypowymi parametrami,
  • wykrywać tworzenie lub modyfikację mechanizmów trwałości,
  • analizować podejrzane połączenia SSH z hostów użytkowników,
  • śledzić procesy wstrzykujące kod do przeglądarek,
  • kontrolować anomalie związane z instalacją rozszerzeń Chromium poza standardowym kanałem,
  • monitorować próby dostępu do plików portfeli, menedżerów haseł i danych przeglądarek.

Dodatkowo warto egzekwować MFA odporne na phishing, segmentować stacje robocze uprzywilejowane i ograniczać użycie lokalnych kont administracyjnych. W organizacjach przechowujących kryptowaluty konieczne jest regularne szkolenie użytkowników, że frazy seed nie wolno wpisywać w odpowiedzi na wyskakujące okna, alerty ani rzekome procedury odzyskiwania.

Z perspektywy reagowania na incydenty przydatny będzie playbook obejmujący izolację hosta, zabezpieczenie artefaktów pamięci i logów, przegląd rozszerzeń przeglądarkowych, reset sesji i tokenów, rotację haseł oraz ocenę kompromitacji portfeli. W przypadku podejrzenia ujawnienia seed phrase należy rozważyć natychmiastowe przeniesienie środków do nowych, bezpiecznych zasobów.

Podsumowanie

OkoBot pokazuje, że współczesne kampanie malware coraz częściej przyjmują formę rozbudowanych frameworków zdolnych do dostarczania wielu wyspecjalizowanych modułów. Połączenie socjotechniki, nadużywania zaufanych platform, kradzieży poświadczeń i ataków ukierunkowanych na portfele kryptowalutowe czyni to zagrożenie szczególnie istotnym dla użytkowników indywidualnych, działów IT i organizacji finansowych.

Najważniejsze znaczenie mają kontrola źródeł oprogramowania, twarde zasady uruchamiania kodu, monitoring telemetryczny oraz edukacja użytkowników w zakresie ochrony danych sesyjnych i fraz odzyskiwania. W przypadku OkoBot szybka detekcja i szerokie spojrzenie na zakres kompromitacji są kluczowe dla ograniczenia strat.

Źródła

  1. BleepingComputer — New OkoBot framework deploys 20 payloads to steal data, crypto — https://www.bleepingcomputer.com/news/security/new-okobot-framework-deploys-20-payloads-to-steal-data-crypto/
  2. Kaspersky Securelist — raport dotyczący kampanii OkoBot/TookPS — https://securelist.com/