
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
OkoBot to zaawansowany, wieloetapowy framework malware zaprojektowany z myślą o kradzieży danych uwierzytelniających, plików portfeli kryptowalutowych oraz fraz odzyskiwania seed. Zagrożenie łączy w jednym ekosystemie cechy infostealera, keyloggera, spyware oraz narzędzi do przejmowania środowiska przeglądarki i aplikacji związanych z aktywami cyfrowymi.
To nie jest pojedynczy szkodliwy plik, lecz rozbudowana platforma, która może uruchamiać wiele wyspecjalizowanych modułów. Dzięki temu operatorzy są w stanie elastycznie dopasować atak do profilu ofiary i jednocześnie realizować kilka celów: kradzież poświadczeń, przejęcie sesji, monitorowanie aktywności oraz wyprowadzanie środków kryptowalutowych.
W skrócie
OkoBot jest dystrybuowany m.in. przez techniki ClickFix oraz złośliwe repozytoria podszywające się pod legalne narzędzia. Według analizy kampanii malware może wdrażać ponad 20 różnych ładunków, co czyni go jednym z bardziej elastycznych i niebezpiecznych frameworków ukierunkowanych na użytkowników kryptowalut.
- kradnie loginy, hasła i ciasteczka przeglądarki,
- przechwytuje dane systemowe i zawartość schowka,
- wykrada pliki portfeli kryptowalutowych,
- nakłania ofiary do ujawnienia fraz seed,
- umożliwia ukrytą obserwację aktywności użytkownika.
Największym zagrożeniem pozostaje przejęcie seed phrase, ponieważ daje ono atakującym pełną kontrolę nad portfelem i zgromadzonymi środkami.
Kontekst / historia
Badacze wskazują, że OkoBot nie powstał w próżni, lecz stanowi rozwinięcie wcześniejszej aktywności związanej ze skryptem PowerShell określanym jako TookPS. Kampania trwa od ponad roku, a sam framework został zaobserwowany jako kolejny etap ewolucji wcześniejszego łańcucha infekcji działającego co najmniej od marca 2025 roku.
Istotna zmiana dotyczy architektury ataku. Zamiast prostego mechanizmu dostarczania pojedynczego ładunku operatorzy przeszli do modelu modułowego, w którym pierwszy komponent przygotowuje system ofiary do pobrania i uruchomienia kolejnych elementów. To podejście zwiększa skuteczność infekcji, utrudnia analizę incydentu i pozwala na dłuższe utrzymanie się w środowisku.
Na uwagę zasługuje także sposób dystrybucji. Atakujący wykorzystują socjotechnikę oraz podszywają się pod zaufane narzędzia i repozytoria kodu. Tego rodzaju kampanie wpisują się w szerszy trend nadużywania platform deweloperskich jako kanału infekcji.
Analiza techniczna
Łańcuch infekcji OkoBot ma charakter wielofazowy. W pierwszym etapie wykorzystywany jest komponent oparty na PowerShell, który instaluje i konfiguruje bota SSH. Ten moduł odpowiada za rekonesans, zbieranie informacji o systemie oraz dostarczenie następnych ładunków malware.
Podczas rozpoznania środowiska OkoBot gromadzi m.in. nazwę użytkownika, informacje o oprogramowaniu ochronnym, adres IP oraz wersję systemu operacyjnego. Dodatkowo może ograniczać widoczność działań poprzez wyłączanie wybranych powiadomień bezpieczeństwa. Już na tym etapie dochodzi do przechwytywania plików portfeli, cookies oraz danych logowania.
Szczególnie niebezpieczne są moduły wyspecjalizowane. Jeden z nich odpowiada za wstrzykiwanie kodu do przeglądarki Chrome, co umożliwia cichą instalację i ukrywanie złośliwych rozszerzeń. Takie rozszerzenia mogą przejmować sesje, kraść poświadczenia i wyciągać dane finansowe bez wzbudzania podejrzeń użytkownika.
Inny komponent, określany jako SeedHunter, atakuje aplikacje obsługujące portfele sprzętowe i programowe. Mechanizm wyświetla fałszywy ekran odzyskiwania portfela, którego celem jest skłonienie ofiary do samodzielnego wpisania frazy seed. To wyjątkowo groźna technika, ponieważ omija część klasycznych zabezpieczeń i wykorzystuje zaufanie użytkownika do legalnej aplikacji.
Framework obejmuje również moduły szpiegowskie. Keylogger rejestruje naciśnięcia klawiszy i aktywność schowka, w tym kopiowany tekst, obrazy oraz ścieżki plików. Może także monitorować podłączanie urządzeń USB i wykonywać zrzuty ekranu. Z kolei komponent spyware śledzi działanie około 100 różnych programów, w tym portfeli kryptowalutowych i menedżerów haseł, oraz przechwytuje obraz ich okien.
W praktyce OkoBot łączy funkcje loadera, infostealera, browser injectora, spyware i narzędzia do przejęcia kryptowalut. Taka konstrukcja pozwala operatorom prowadzić ataki wielotorowe i skutecznie monetyzować kompromitację pojedynczego urządzenia.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem infekcji jest utrata kontroli nad portfelem kryptowalutowym po przejęciu frazy seed. W przeciwieństwie do klasycznej kradzieży hasła, w takim przypadku odzyskanie środków jest zazwyczaj niemożliwe. Z tego powodu OkoBot stanowi szczególne zagrożenie dla inwestorów, traderów, administratorów portfeli firmowych i organizacji operujących aktywami cyfrowymi.
Ryzyko wykracza jednak poza świat kryptowalut. Kradzież cookies, poświadczeń i danych z menedżerów haseł może doprowadzić do przejęcia skrzynek pocztowych, usług SaaS, paneli administracyjnych oraz aktywnych sesji użytkowników. Rejestracja schowka i klawiszy dodatkowo zwiększa skuteczność eksfiltracji danych w środowiskach, gdzie kopiowane są hasła, tokeny dostępu, komendy administracyjne lub adresy portfeli.
Dla firm oznacza to możliwość połączenia strat finansowych z naruszeniem poufności danych i dalszym ruchem bocznym w sieci. Kompromitacja stacji roboczej administratora, dewelopera lub pracownika działu finansowego może stać się punktem wejścia do kolejnych etapów ataku.
Rekomendacje
OkoBot należy traktować jako zagrożenie wielowarstwowe, dlatego ochrona powinna obejmować zarówno endpointy, jak i przeglądarki, mechanizmy wykonawcze skryptów oraz procedury związane z obsługą kryptowalut. Kluczowe znaczenie ma ograniczenie zaufania do niezweryfikowanych repozytoriów i nietypowych instrukcji uruchamiania poleceń.
- ograniczyć uruchamianie skryptów PowerShell z niezaufanych źródeł,
- monitorować procesy mogące wstrzykiwać kod do przeglądarek,
- wdrożyć kontrolę i audyt instalacji rozszerzeń przeglądarkowych,
- korzystać z EDR zdolnego wykrywać keyloggery, spyware i browser injectors,
- analizować nietypowe połączenia SSH inicjowane z endpointów użytkowników,
- blokować pobieranie oprogramowania z niezweryfikowanych repozytoriów,
- szkolić użytkowników z rozpoznawania technik ClickFix i fałszywych instalatorów,
- przechowywać frazy seed offline i nigdy nie wpisywać ich po niespodziewanym komunikacie aplikacji,
- separować środowiska używane do obsługi kryptowalut od codziennej pracy biurowej.
Każdy ekran proszący o podanie frazy odzyskiwania należy traktować jako potencjalny sygnał phishingu lub lokalnej kompromitacji systemu. W środowiskach firmowych warto także objąć dodatkowym nadzorem urządzenia używane przez osoby z dostępem uprzywilejowanym i zespoły finansowe.
Podsumowanie
OkoBot pokazuje, że współczesne kampanie malware coraz częściej przybierają formę modularnych platform, które jednocześnie kradną poświadczenia, śledzą aktywność użytkownika i przejmują kryptowaluty. O sile tego zagrożenia decyduje nie tylko liczba modułów, ale przede wszystkim precyzyjne ukierunkowanie na dane o najwyższej wartości operacyjnej i finansowej.
Dla zespołów bezpieczeństwa oznacza to konieczność łączenia telemetrii endpointowej, kontroli aplikacji, monitoringu przeglądarek i ścisłych procedur ochrony portfeli kryptowalutowych. W przypadku takich zagrożeń nawet pojedyncza kompromitacja stacji roboczej może mieć nieproporcjonalnie wysokie skutki biznesowe.
Źródła
- BleepingComputer — New OkoBot framework deploys 20 payloads to steal data, crypto — https://www.bleepingcomputer.com/news/security/new-okobot-framework-deploys-20-payloads-to-steal-data-crypto/
- Kaspersky Securelist — OkoBot malware framework analysis — https://securelist.com/okobot-malware-framework/117467/