閃電小費

2026年7月17日 星期五

OkoBot 惡意軟體框架向 Ledger 和 Trezor 應用程式植入助記詞釣魚攻擊

這篇來自《The Hacker News》的報導詳細分析了名為 OkoBot 的惡意軟體框架。該框架專門針對硬體錢包(如 Ledger 和 Trezor)的桌面應用程式進行注入,以騙取用戶的助記詞(Seed Phrase)。身為關注資安與冷錢包安全的用戶,此新型態的攻擊手法非常值得警惕。


OkoBot 惡意軟體框架向 Ledger 和 Trezor 應用程式植入助記詞釣魚攻擊

自 2025 年 4 月起,一款名為 OkoBot 的惡意軟體框架便持續在 Windows 電腦上運行,而其內置的其中一個模組,專門用來欺騙硬體錢包持有者,誘騙他們交出備份助記詞(Recovery Phrase)。

在受感染的電腦上,該釣魚請求會直接從硬體錢包「官方桌面軟體內部」彈出。有時,它甚至會等到你插入硬體設備後才發動攻擊。此時,畫面上顯示的頁面是惡意的,但包裹著它的應用程式外殼,確實是你原本安裝的官方軟體,而它所索取的,正是攸關你整筆加密資產的助記詞。

卡巴斯基(Kaspersky)的全球研究與分析團隊(GReAT)於週三發表了這份剖析報告。根據其遙測數據,目前已有分佈於 25 多個國家的數百名受害者。遭受攻擊人數最多的國家包括巴西、越南、加拿大、墨西哥和土耳其。

報告並未透露具體有多少用戶真的輸入了助記詞。截至 7 月 15 日的報告發表為止,攜帶超過 20 種載荷與植入程式的 OkoBot 依然處於活躍狀態。

SeedHunter:靜待硬體設備接入

負責竊取助記詞的 OkoBot 模組名為 SeedHunter。一旦 OkoBot 框架成功入侵電腦,它就會監控系統中是否有 Trezor SuiteLedger WalletLedger Live 等程式。一旦發現,它便會進行注入,並攔截該應用程式底層的 Electron 內部機制。隨後,它會向其命令與控制伺服器(C2,網址為 moonsand[.]store)發送請求。

如果伺服器回傳了「等待(Wait)」旗標,SeedHunter 就會透過廠商 ID(Vendor ID)和產品 ID(Product ID)來掃描 USB 連接埠,並保持靜默,直到用戶真正拔插並連接 Ledger 或 Trezor 硬體錢包。只有在偵測到硬體連接後,它才會渲染出預先寫死的助記詞還原頁面(為每個品牌量身打造不同的版面樣式)。

如果伺服器未設置「等待」旗標,該釣魚頁面則會立即顯示。用戶在畫面上輸入的助記詞,會被傳送到該頁面控制台背後帶有 @:app:print 標記的位置,並被遭攔截的 mal_LogConsoleMessage 函式所擷取。隨後,這些資訊會以 JSON 格式外傳,並在臨時資料夾中留下一份經 RC4 加密的副本。

⚠️ 關鍵安全觀念:

在此過程中,硬體錢包本身並沒有被攻破。硬體錢包履行了其設計的唯一職責:拒絕洩露私鑰。然而,它無法阻止其配套的電腦端桌面軟體向用戶索取助記詞。

這種手法其實並不新鮮。Moonlock 實驗室先前就曾追蹤過在 macOS 上進行類似偷天換日攻擊的竊密程式;《The Hacker News》過去也曾報導過仿冒的 Ledger Live 應用程式:例如 AMOS 惡意軟體會強制關閉正版 Ledger Live,並在 /Applications 中植入一個修改過、要求輸入 24 個助記詞的仿冒複製版。

今年 3 月,Windows 平台上也出現過利用 USB 觸發攻擊的 GlassWorm 惡意軟體。它利用 WMI 技術監控 USB 設備的插入,並在強制結束正版應用程式後彈出自己的惡意視窗。

SeedHunter 改變的地方在於「頁面渲染的位置」:它不關閉原本的應用程式,而是直接在官方應用程式內部畫出釣魚網頁。

假裝是 SQL Server 的「Audacity」音訊軟體

OkoBot 主要透過兩種管道入侵:

  1. ClickFix(點擊修復)郵件/網頁誘騙手法:欺騙用戶點擊並執行惡意指令。
  2. GitHub 上被植入木馬的軟體:卡巴斯基拆解的一個 GitHub 儲存庫,表面上宣稱是 SQL Server Management Studio(SSMS),但實際上遞送的是知名音訊剪輯軟體 Audacity,且其內部其中一個函式庫已被重新編譯並植入了惡意程式。該專案在搜尋「SSMS」時甚至名列前茅,活躍時間從 2025 年 3 月底一直持續到 6 月。

這兩種入侵途徑最終都會執行 TookPS。這是一款卡巴斯基自 2025 年 3 月起便持續追蹤的 PowerShell 下載器。它最初透過偽造的 DeepSeek 頁面傳播,隨後蔓延至偽造的商業軟體下載網站。

TookPS 會安裝 SSH、連線至黑客控制的伺服器、轉發本地 SSH 守護行程(daemon)的通訊埠並靜待指令。隨後,自動化的 SSH 機器人會透過此隧道連回受害電腦。

該機器人會對電腦進行徹底盤點(包括安裝了哪些防毒軟體),並透過隧道將錢包檔案、Cookie、瀏覽器設定檔和憑證抽離。它還會透過寫入登錄檔(Registry)來靜音 Windows Defender 的警報,並為自己打造一個後門環境:

  • 開啟防火牆以允許傳入的 RDP(遠端桌面連線)。
  • 將一個帳號加入「Remote Desktop Users」群組。
  • 用修改過的版本替換 termsrv.dll,以允許並行(多用戶同時)RDP 工作階段。
  • 註冊名為「Apple Sync」的排程工作,每小時重新建立一次針對本地 RDP 通訊埠的反向 SSH 隧道。

完成上述步驟後,其他模組會透過 SFTP 陸續送達。一個名為 HDUtil(經過 VMProtect 加殼)的啟動器會執行這些模組,並能透過微軟 Project Zero 於 2019 年記錄的 Windows RPC UAC 繞過漏洞,在背景無聲地提升權限。

最後送達的是名為 Volume2 的開源工具,其中攜帶了惡意的 protobuf.dll,用來解密並啟動真正的核心載荷:一個每 20 秒輪詢一次 C2 伺服器的外掛分發器。卡巴斯基共復原了 5 個外掛,其中一個便是負責將 SeedHunter 注入至目標行程中的行程注入器

全方位的監視套件

該工具包的其餘部分則極具監視與間諜性質:

  • OkoSpyware:監控包含 Exodus、1Password 在內的 100 多個應用程式執行檔。它會使用內建的 FFmpeg 將對應的視窗畫面錄製成 MP4 影片,並記錄其中的鍵盤輸入。
  • 惡意軟體會對瀏覽器分頁標題進行正規表示式(Regex)比對,一旦偵測到 MetaMask 或 Tonkeeper 分頁,就會自動開始背景錄影。
  • MC Keylogger(鍵盤記錄器):記錄輸入、剪貼簿、USB 設備,並每 5 分鐘擷取一次螢幕截圖。
  • 一個載入器會在背景安裝「被授予所有權限」的隱藏 Chromium 擴充功能,其安裝的是 Rilide(一款自 2023 年 4 月起被俄語黑客廣泛使用的 Chromium 竊密程式)。

這套框架幕後黑手是誰?

卡巴斯基並未指明具體的攻擊組織,僅表示:「我們無法將此惡意活動歸因於任何已知的網路犯罪團體。」

不過,託管第一階段 PowerShell 的伺服器會對來自俄羅斯和獨立國協(CIS)的 IP 地址返回空回應,且 Rilide 擴充功能通常只在僅限邀請的俄語論壇中流通。此外,SeedHunter 釣魚頁面中包含俄語註釋。雖然這些只是間接線索,但報告中已對其進行了記錄。

如何防範與偵測?

目前並沒有針對此攻擊路徑的錢包漏洞(CVE)或廠商補丁,因為攻擊是直接發生在終端電腦上。不過,IT 與防禦人員可以針對以下特徵進行威脅獵捕(Threat Hunting):

  • 系統中出現名為 Apple Sync 的異常排程工作。
  • 出現以下路徑檔案:
    %PROGRAMDATA%\hwid.dat
    %PROGRAMDATA%\HDVideo\HDUtil.exe
    %USERPROFILE%\.ssh\go.bat
  • termsrv.dll 檔案大小或雜湊值被修改。
  • 「Remote Desktop Users」群組中出現了未經授權新增的帳號。
  • 個人終端電腦出現異常的對外 SSH(Port 22)連線。
  • Local Extension Settings 資料夾中出現了瀏覽器 UI 上看不到的隱藏擴充元件。

卡巴斯基的官方部落格已提供了相關的 Hash 值(雜湊值)與 C2 網域。

🛡️ 兩大冷錢包官方的安全提醒

  • Ledger 官方: 助記詞(24個英文單字)絕對、絕對不會傳送到 Ledger 實體設備以外的任何地方。任何要求你在電腦鍵盤輸入助記詞的軟體都是詐騙。
  • Trezor 官方: Trezor Suite 軟體絕不會主動要求你在電腦軟體上打入備份助記詞。若您使用的是 Model One 並選擇「電腦端輸入」的標準恢復流程,這也必須是在「實體硬體螢幕上先出現相應指示與確認」時才能配合進行。
💡 終極防範黃金準則:

如果你只是把硬體錢包插上電腦,電腦軟體畫面上就突然跳出要求輸入助記詞的視窗,而硬體錢包實體小螢幕上完全沒有任何對應的提示或動作,這就是 100% 的中毒與釣魚徵兆!切記,保護私鑰的唯一防線就是「絕對不要在鍵盤上打入你的助記詞」

沒有留言:

精選文章

OkoBot 惡意軟體框架向 Ledger 和 Trezor 應用程式植入助記詞釣魚攻擊

這篇來自 《The Hacker News》的報導 詳細分析了名為 OkoBot 的惡意軟體框架。該框架專門針對硬體錢包(如 Ledger 和 Trezor)的桌面應用程式進行注入,以騙取用戶的助記詞(Seed Phrase)。身為關注資安與冷錢包安全的用戶,此新型態的攻擊手...

熱門文章