Kaspersky Mengungkap Serangan Berbahaya OkoBot: 20+ Program Berkolaborasi Mencuri Frasa Sandi Dompet Kripto

Tim riset global Kaspersky GReAT mengungkap kerangka malware OkoBot, yang melibatkan lebih dari 20 jenis program jahat untuk mencuri frase pemulihan dompet kripto, cookie browser, dan lainnya, serta telah menyusup ke 25 negara, dengan ratusan pengguna terdampak.
(Info sebelumnya: Waspada! Kaspersky menemukan malware pencuri frase pemulihan dompet di aplikasi populer Android dan iOS)
(Tambahan latar: Malware SparkKitty menyusup ke toko Apple dan Google, mencuri “tangkapan layar frase pemulihan” dompet kripto)

Daftar isi

Toggle

  • Kerangka OkoBot: 20 jenis malware bekerja sama dalam satu aksi
  • SeedHunter: mencuri frase pemulihan Ledger dan Trezor
  • OkoSpyware: merekam sekaligus keyboard dan layar
  • Aktif selama lebih dari setahun, pengembang menjadi target utama

Tim Riset Analisis Global Kaspersky (GReAT) mengungkap sebuah kerangka malware bernama OkoBot. Kerangka ini berisi lebih dari 20 jenis malware dan implant, yang bekerja sama melalui tunnel SSH, khusus untuk mencuri frase pemulihan dompet mata uang kripto, cookie browser, dan sandi akun, serta telah menyusup ke 25 negara dan ratusan pengguna di seluruh dunia.

Kerangka OkoBot: 20 jenis malware bekerja sama dalam satu aksi

OkoBot bukanlah satu malware tunggal, melainkan rangka serangan berbasis modul. Kaspersky menguraikan rantai infeksi lengkap secara rinci dalam laporan teknis Securelist: TookPS downloader bertanggung jawab atas infiltrasi awal → SSH bot mengumpulkan informasi sistem dan membangun reverse tunnel → HDUtil launcher menyebarkan setiap modul malware → akhirnya mengirim kembali data curian melalui SFTP.

Kerangka tersebut mencakup lima jenis plugin utama:

  • Pembungkus CMD (10xx): menjalankan skrip dan perintah individual di dalam sistem
  • Pembungkus PowerShell (11xx): mendukung eksekusi skrip PowerShell
  • Enumerator lingkungan (12xx): mengumpulkan informasi sistem, sesi aktif, dan perjalanan
  • Downloader (14xx): mengunduh payload tambahan dari embedded Base64 biner blob atau URL
  • Injector proses (16xx): menyuntikkan implant berbahaya ke dalam proses normal

SeedHunter: mencuri frase pemulihan Ledger dan Trezor

Salah satu modul inti, SeedHunter, memantau proses yang aktif di sistem, lalu menyuntikkan implant ke aplikasi Trezor Suite, Ledger Wallet, dan Ledger Live. Ketika mendeteksi adanya dompet perangkat keras yang terhubung, SeedHunter akan menampilkan halaman phishing yang dikodekan secara hardcode, meminta pengguna memasukkan frase pemulihan. Halaman tersebut menggunakan desain layout berbeda untuk setiap jenis dompet. Frase pemulihan yang berhasil dicuri kemudian dikirim kembali ke server C2 melalui enkripsi RC4.

Kaspersky dalam rilis berita resminya secara khusus menyebut bahwa jalur infeksi OkoBot terutama mencakup ClickFix scam klik dan perangkat lunak tiruan yang didistribusikan melalui GitHub. Peneliti mengidentifikasi kasus pemasang palsu bernama SQL Server Management Studio, yang ternyata menyertakan editor audio Audacity yang berisi implant berbahaya.

OkoSpyware: merekam sekaligus keyboard dan layar

Modul OkoSpyware yang baru ditambahkan dalam OkoBot sekaligus menangkap input keyboard dan streaming video dari jendela aplikasi target. Modul ini akan menampilkan lebih dari 100 nama file executable, termasuk dompet kripto seperti Exodus, Litecoin QT, manajer kata sandi seperti KeePassXC, 1Password, serta berbagai aplikasi yang umum digunakan. Untuk setiap proses yang teridentifikasi, OkoSpyware menggunakan contoh FFmpeg bawaan untuk merekam video MP4, sekaligus mencatat input tombol.

Browser juga tidak luput: ketika OkoSpyware mendeteksi judul jendela pada halaman ekstensi dompet seperti MetaMask atau Tonkeeper, ia akan secara otomatis memulai perekaman dan pencatatan input, lalu menuliskan judul jendela tersebut ke file metadata JSON.

Aktif selama lebih dari setahun, pengembang menjadi target utama

Rantai infeksi OkoBot telah mulai berjalan sejak April 2025, dan hingga kini sudah lebih dari setahun, serta masih terus berevolusi. Peneliti Kaspersky menyebut bahwa negara dengan pengguna yang paling banyak diserang adalah Brasil, Vietnam, Kanada, Meksiko, dan Turki. Meskipun saat ini belum bisa dipastikan keterkaitan dengan kelompok kriminal tertentu, analisis teknis menemukan jejak kode berbahasa Rusia, dan program pencurian yang digunakan malware (Rilide) banyak beredar di forum kejahatan siber berbahasa Rusia.

Kaspersky dalam laporannya memperingatkan bahwa evolusi berkelanjutan OkoBot menunjukkan para operator yang berada di balik layar masih aktif mengembangkan. Seiring aktivitas distribusi terus berlangsung, kerangka ini berpotensi memengaruhi lebih banyak pengguna dan pengembang mata uang kripto.

LTC3,21%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan