Security

Framework Malware OkoBot Sebarkan Lebih dari 20 Payload untuk Curi Data dan Aset Kripto

Peneliti keamanan menemukan framework malware baru bernama OkoBot yang digunakan untuk menyebarkan lebih dari 20 payload dalam serangan pencurian data dan aset cryptocurrency. Ancaman ini dirancang untuk mencuri seed phrase wallet, kredensial, cookie browser, serta informasi sensitif lain dari perangkat korban.

Kampanye OkoBot terdeteksi sebagai evolusi dari aktivitas TookPS yang sebelumnya digunakan untuk mengirimkan script PowerShell berbahaya. Dalam versi terbaru, rantai infeksi berubah menjadi lebih kompleks dengan beberapa tahap serangan yang saling terhubung, mulai dari eksekusi awal hingga pengiriman modul tambahan melalui koneksi SSH.

Distribusi awal OkoBot dilakukan melalui dua jalur utama. Pertama, pelaku memanfaatkan serangan ClickFix yang mendorong korban menjalankan perintah berbahaya dengan dalih memperbaiki masalah tertentu. Kedua, malware disebarkan melalui repositori GitHub palsu yang menyamar sebagai paket software legal.

Salah satu contoh yang ditemukan adalah repositori palsu yang mengklaim menyediakan SQL Server Management Studio atau SSMS. Namun, file yang diunduh justru berisi versi Audacity yang telah dimodifikasi dengan implant berbahaya di salah satu library-nya. Karena repositori tersebut sempat terindeks mesin pencari, calon korban dapat menganggapnya sebagai paket resmi.

Setelah tahap awal dijalankan, TookPS memasang komponen SSH pada sistem korban, membuat koneksi ke server yang dikendalikan penyerang, lalu meneruskan port SSH daemon. Bot SSH otomatis kemudian terhubung ke sistem tersebut untuk mengumpulkan informasi perangkat dan mengirimkan modul-modul malware tambahan.

Bot SSH ini dapat mengambil detail sistem seperti username, produk antivirus, alamat IP, dan versi sistem operasi. Komponen tersebut juga mencuri file wallet cryptocurrency, cookie browser, profil browser, serta kredensial akun. Untuk mempermudah tahap berikutnya, malware memodifikasi registry agar notifikasi Windows Defender dinonaktifkan.

OkoBot juga memberi penyerang akses lebih jauh ke sesi grafis korban. Rantai serangannya dapat membuka port firewall untuk RDP, membuat user baru di grup Remote Desktop Users, mengganti file termsrv.dll dengan versi yang telah dipatch agar mendukung beberapa sesi RDP bersamaan, serta membuat scheduled task bernama Apple Sync untuk mempertahankan reverse SSH tunnel.

Di antara modul yang disebarkan, salah satu yang paling penting adalah ext daemon atau extl.exe. Modul ini menyuntikkan kode ke browser berbasis Chromium untuk memasang dan menyembunyikan ekstensi berbahaya seperti Rilide, yang dikenal menargetkan kredensial, cookie, informasi finansial, dan data terkait cryptocurrency.

Modul lain bernama SeedHunter menargetkan aplikasi wallet seperti Trezor Suite, Ledger Wallet, dan Ledger Live. Modul ini menampilkan layar pemulihan palsu untuk memancing korban memasukkan recovery phrase. Jika seed phrase berhasil dicuri, penyerang dapat mengakses aset kripto korban dan memindahkannya ke wallet yang mereka kendalikan.

OkoBot juga memiliki modul MC Keylogger yang merekam ketikan dan aktivitas clipboard, termasuk teks yang disalin, gambar, jalur file, koneksi USB, serta screenshot berkala. Sementara itu, OkoSpyware memantau sekitar 100 program, termasuk wallet cryptocurrency dan password manager, lalu merekam aktivitas jendela aplikasi menggunakan FFmpeg.

Telemetri Kaspersky menunjukkan korban OkoBot paling banyak berada di Brasil, disusul Vietnam, Kanada, Meksiko, dan Turki. Meski begitu, jangkauan kampanye ini bersifat global dan tidak terbatas pada satu wilayah tertentu.

Kaspersky tidak mengaitkan kampanye ini dengan kelompok tertentu. Namun, ada beberapa indikasi yang mengarah pada aktor berbahasa Rusia, termasuk komentar berbahasa Rusia dalam kode SeedHunter, penggunaan infostealer yang dipromosikan di forum kejahatan siber Rusia tertutup, serta server awal yang tidak mengirimkan payload ketika diakses dari Rusia atau wilayah Commonwealth of Independent States.

Bagi pengguna, ancaman ini menjadi pengingat untuk hanya mengunduh software dari situs resmi vendor, menghindari repositori tidak jelas yang muncul di hasil pencarian, dan tidak pernah memasukkan seed phrase wallet pada layar yang muncul tiba-tiba. Organisasi juga disarankan memantau indikator kompromi, aktivitas SSH atau RDP yang tidak biasa, serta perubahan registry yang menonaktifkan perlindungan Windows Defender.

Sumber: OkoBot: new sophisticated malware framework targets cryptocurrency users

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button