カスペルスキー GReAT チームが、OkoBot 悪意のあるソフトウェアフレームワークを明らかにした。20種類以上のマルウェアが連携して、暗号通貨ウォレットのシードフレーズ(助記詞)、ブラウザのCookie等を窃取し、25か国で数百名のユーザーに侵入している。
(これまでのあらすじ:注意!カスペルスキーが Android、iOS の人気アプリで、ウォレットのシードフレーズを盗むマルウェアを発見)
(補足:マルウェア SparkKitty は Apple と Google のストアに侵入し、暗号通貨ウォレットの「シードフレーズのスクリーンショット」を窃取)
カスペルスキーが暴く OkoBot の悪意ある攻撃:20+のプログラムが連携して暗号ウォレットの秘密鍵(リカバリフレーズ)を窃取
カスペルスキー GReAT チームが、OkoBot 悪意のあるソフトウェアフレームワークを明らかにした。20種類以上のマルウェアが連携して、暗号通貨ウォレットのシードフレーズ(助記詞)、ブラウザのCookie等を窃取し、25か国で数百名のユーザーに侵入している。
(これまでのあらすじ:注意!カスペルスキーが Android、iOS の人気アプリで、ウォレットのシードフレーズを盗むマルウェアを発見)
(補足:マルウェア SparkKitty は Apple と Google のストアに侵入し、暗号通貨ウォレットの「シードフレーズのスクリーンショット」を窃取)
この記事の目次
Toggle
カスペルスキーのグローバル研究分析チーム(GReAT)が、OkoBot という名称の悪意のあるソフトウェアフレームワークを暴露した。このフレームワークには、20種類以上の悪意あるプログラムと埋め込み物が含まれ、SSHトンネルを介して連携動作し、暗号通貨ウォレットのシードフレーズ、ブラウザのCookie、アカウントのパスワードを専門的に窃取する。すでに世界25か国で数百名のユーザーに感染している。
OkoBot フレームワーク:20種類の悪意あるプログラムが連携して実行
OkoBot は単体の悪意あるプログラムではなく、モジュール化された攻撃フレームワーク一式だ。カスペルスキーは Securelist の技術レポートで、完全な感染チェーンを詳細に分解している。TookPS ダウンローダーが初期侵入を担当 → SSH bot がシステム情報を収集しリバーストンネルを構築 → HDUtil ローダーが各悪意あるモジュールを展開 → 最終的に SFTP により窃取データを送り返す。
フレームワークには5種類の主要なプラグインが含まれる:
SeedHunter:Ledger と Trezor のシードフレーズを盗む
中核モジュールのひとつである SeedHunter は、システム内のアクティブなプロセスを監視し、埋め込み物を Trezor Suite、Ledger Wallet、Ledger Live などのアプリケーションに注入する。接続されたハードウェアウォレットを検知すると、SeedHunter はハードコードされたフィッシングページを表示し、ユーザーにシードフレーズの入力を求める。このページは、ウォレットの種類ごとに異なるレイアウト設計になっており、盗み取ったシードフレーズはその後 RC4 により暗号化されて C2 サーバーへ送信される。
カスペルスキーは公式ニュースリリースで、OkoBot の感染経路は主に ClickFix のクリック詐欺と、GitHub を介して配布される偽装ソフトウェアだと特に指摘している。研究者は、偽の SQL Server Management Studio インストーラーの事例を特定しており、実際には悪意のある埋め込み物が組み込まれた Audacity の音声編集ソフトであった。
OkoSpyware:キーボードと画面を同時に録画
OkoBot に新たに追加された OkoSpyware モジュールは、キーボード入力と、ターゲットアプリケーションのウィンドウ映像ストリームを同時に取得する。Exodus、Litecoin QT などの暗号通貨ウォレット、KeePassXC、1Password などのパスワード管理ツール、そして各種のよく使われるアプリケーションを含む、100件以上の実行ファイル名を列挙する。識別した各プロセスに対して、OkoSpyware は内蔵された FFmpeg の例を用いて MP4 形式の動画を録画し、同時にキー入力も記録する。
ブラウザも例外ではなく、OkoSpyware が MetaMask や Tonkeeper などのウォレット拡張ページのウィンドウタイトルを検知すると、自動的に録画と入力記録を開始し、ウィンドウタイトルを JSON のメタデータファイルに書き込む。
1年以上継続して活躍、開発者が主なターゲット
OkoBot の感染チェーンは 2025年4月から稼働し始めており、すでに1年以上経過しているにもかかわらず、なお進化を続けている。カスペルスキーの研究者は、攻撃を受けたユーザーが最も多い国は、ブラジル、ベトナム、カナダ、メキシコ、トルコだと述べている。現時点では特定の犯罪グループへの帰属は確定できないものの、技術分析によりロシア語圏のコード痕跡が見つかっており、またマルウェアが使用する情報窃取プログラム(Rilide)は、ロシア語圏のサイバー犯罪フォーラムで広く流通している。
カスペルスキーはレポートで、OkoBot フレームワークの継続的な進化は、バックエンドの保守担当者が引き続き積極的に開発していることを示していると警告している。配布活動が続くにつれ、このフレームワークはより多くの暗号通貨ユーザーや開発者に影響を与える可能性がある。