
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
OkoBot to zaawansowany framework malware dla systemu Windows, którego jednym z najgroźniejszych modułów jest komponent nastawiony na wyłudzanie fraz odzyskiwania portfeli kryptowalutowych. Zamiast przełamywać zabezpieczenia samego portfela sprzętowego, zagrożenie kompromituje komputer ofiary i manipuluje zaufanymi aplikacjami, takimi jak Ledger Live czy Trezor Suite.
To szczególnie niebezpieczny model ataku, ponieważ użytkownik widzi fałszywy formularz wewnątrz prawdziwej aplikacji. W praktyce oznacza to phishing na poziomie endpointu połączony z iniekcją do legalnego procesu.
W skrócie
- OkoBot działa na Windows i składa się z ponad 20 komponentów.
- Moduł SeedHunter wykrywa aplikacje Ledger i Trezor oraz osadza w nich fałszywe ekrany odzyskiwania portfela.
- W niektórych przypadkach malware czeka na fizyczne podłączenie urządzenia USB, by zwiększyć wiarygodność oszustwa.
- Celem ataku nie jest złamanie portfela sprzętowego, lecz skłonienie ofiary do samodzielnego ujawnienia seed phrase.
- Po przejęciu frazy odzyskiwania napastnicy mogą całkowicie przejąć kontrolę nad aktywami kryptowalutowymi.
Kontekst / historia
Kampania z użyciem OkoBot wpisuje się w rosnący trend ataków wymierzonych w użytkowników kryptowalut, w których cyberprzestępcy odchodzą od prób łamania kryptografii czy firmware’u urządzeń. Zamiast tego koncentrują się na kompromitacji systemu operacyjnego, socjotechnice oraz przejęciu środowiska pracy użytkownika.
W analizowanych przypadkach operatorzy korzystali z przynęt typu ClickFix oraz trojanizowanych pakietów oprogramowania rozpowszechnianych przez złośliwe repozytoria. Jednym z przykładów było oprogramowanie podszywające się pod narzędzia administracyjne, które w rzeczywistości dostarczało implant umożliwiający dalszą eksploatację hosta.
To podejście jest szczególnie groźne, ponieważ łączy klasyczne dostarczenie malware z elementami ataku na łańcuch dostaw. Użytkownik uruchamia pozornie legalny instalator, a w efekcie otrzymuje środowisko przygotowane do szpiegowania, utrwalania dostępu i kradzieży danych.
Analiza techniczna
Najważniejszym komponentem kampanii jest moduł SeedHunter. Po uruchomieniu na stacji roboczej monitoruje on obecność aplikacji związanych z portfelami sprzętowymi i wstrzykuje się do ich procesów. Następnie wykorzystuje mechanizmy interfejsu aplikacji opartych na Electronie, aby wyświetlić fałszywy ekran proszący o podanie seed phrase.
Z punktu widzenia ofiary komunikat nie wygląda jak zewnętrzne okno ani prymitywna nakładka. Jest prezentowany w obrębie autentycznego interfejsu, co znacząco utrudnia wykrycie oszustwa i podnosi skuteczność ataku.
Badacze opisali dwa główne warianty działania. W pierwszym fałszywy ekran pojawia się od razu po wykryciu odpowiedniej aplikacji. W drugim malware czeka na podłączenie prawdziwego urządzenia Ledger lub Trezor i identyfikuje je na podstawie identyfikatorów USB producenta oraz produktu. Dzięki temu komunikat pojawia się dokładnie wtedy, gdy użytkownik spodziewa się legalnej interakcji z portfelem.
Po przechwyceniu danych malware eksportuje je do infrastruktury C2, a część informacji może być tymczasowo buforowana lokalnie. W analizie wskazano również użycie szyfrowania RC4 na jednym z etapów zapisu. Kluczowe jest jednak to, że sam portfel sprzętowy nie zostaje technicznie złamany — naruszone zostaje zaufanie do komputera i aplikacji towarzyszącej.
Łańcuch infekcji jest szerszy niż sam komponent phishingowy. OkoBot wykorzystuje downloader PowerShell, ustanawia zdalny dostęp przez tunel SSH, zbiera informacje o systemie i jego zabezpieczeniach oraz przygotowuje środowisko do dalszej eksploatacji. Zaobserwowano także modyfikacje zapory, dodawanie kont do grupy Remote Desktop Users, podmianę biblioteki termsrv.dll w celu obsługi równoległych sesji RDP oraz tworzenie zadania Apple Sync odpowiedzialnego za odnawianie tunelu zwrotnego.
Dodatkowe moduły mogą odpowiadać za keylogging, przechwytywanie schowka, wykonywanie zrzutów ekranu, monitorowanie aktywności okien oraz instalację ukrytych rozszerzeń Chromium. Oznacza to, że zagrożone są nie tylko aktywa kryptowalutowe, ale również szeroki zakres danych uwierzytelniających i informacji operacyjnych użytkownika.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem ataku jest całkowita utrata środków po ujawnieniu frazy odzyskiwania. Seed phrase stanowi nadrzędny klucz dostępu do portfela, dlatego jej przejęcie niweluje bezpieczeństwo zapewniane przez urządzenie sprzętowe.
Ryzyko jest wysokie również dlatego, że oszustwo odbywa się wewnątrz prawdziwej aplikacji. Użytkownik może uznać komunikat za legalny element procesu odzyskiwania lub konfiguracji, zwłaszcza jeśli pojawia się w chwili podłączenia urządzenia.
Znaczenie ma też trwały dostęp uzyskiwany przez operatorów malware. Po skutecznej infekcji zagrożone stają się przeglądarki, zapisane poświadczenia, sesje webowe, menedżery haseł oraz inne wrażliwe dane znajdujące się na stacji roboczej. To sprawia, że incydent może szybko wyjść poza obszar pojedynczego portfela kryptowalutowego.
Dodatkowo kampania nie opiera się na jednej luce CVE, którą można po prostu załatać. Problem dotyczy kompromitacji endpointu, nadużycia zaufania i skutecznej socjotechniki, dlatego wymaga szerszego podejścia do ochrony stacji końcowych.
Rekomendacje
Najważniejsza zasada brzmi: fraza odzyskiwania nie powinna być wpisywana w aplikacji desktopowej, przeglądarce ani w żadnym wyskakującym formularzu, jeśli nie jest to jednoznacznie potwierdzone przez samo urządzenie i oficjalny, znany użytkownikowi proces odzyskiwania.
- pobierać oprogramowanie wyłącznie z oficjalnych źródeł i weryfikować integralność pakietów instalacyjnych;
- traktować każde żądanie podania seed phrase jako potencjalny incydent bezpieczeństwa;
- monitorować stacje robocze pod kątem nietypowego ruchu SSH oraz oznak zdalnego dostępu;
- sprawdzać obecność artefaktów takich jak zadanie
Apple Sync, zmodyfikowanytermsrv.dllczy nieautoryzowane konta w grupie Remote Desktop Users; - wdrożyć EDR lub XDR z detekcją iniekcji do procesów Electron, nietypowych tuneli oraz mechanizmów utrwalania dostępu;
- ograniczać uprawnienia lokalne użytkowników i blokować nieautoryzowane narzędzia zdalnego dostępu;
- stosować allowlisting aplikacji, kontrolę uruchamiania skryptów PowerShell oraz segmentację środowiska;
- prowadzić szkolenia uświadamiające dotyczące phishingu seed phrase i fałszywych aktualizacji narzędzi kryptowalutowych.
W organizacjach posiadających zespoły SOC warto przygotować procedurę obejmującą izolację hosta, analizę pamięci, przegląd aktywnych tuneli SSH, kontrolę rozszerzeń Chromium oraz szybkie działania związane z migracją aktywów na nowy seed w razie podejrzenia ujawnienia frazy.
Podsumowanie
OkoBot pokazuje, że nowoczesne kampanie malware przeciwko użytkownikom kryptowalut coraz częściej atakują nie samo urządzenie, lecz warstwę zaufania między użytkownikiem, systemem operacyjnym i legalną aplikacją. SeedHunter nie przełamuje zabezpieczeń Ledgera ani Trezora, ale wykorzystuje kompromitację Windowsa i precyzyjnie zaprojektowany phishing osadzony w autentycznym interfejsie.
To czyni zagrożenie szczególnie podstępnym i trudnym do zauważenia. W praktyce najskuteczniejszą obroną pozostaje połączenie higieny operacyjnej, monitorowania anomalii na endpointach oraz bezwzględnego przestrzegania zasady, że seed phrase nigdy nie może trafić do niezaufanego środowiska.
Źródła
- https://thehackernews.com/2026/07/okobot-malware-framework-injects-seed.html
- https://www.ledger.com/academy/how-to-make-sure-that-my-crypto-stays-safe-with-ledger
- https://www.ledger.com/ongoing-phishing-campaigns
- https://trezor.io/guides/trezor-suite/getting-to-know-trezor-suite
- https://docs.trezor.io/trezor-suite/features/onboarding/onboarding.html