OkoBotと名付けられた新たに確認されたマルウェアフレームワークが、暗号資産ユーザーを標的にした多段階の侵入チェーンを展開しています。Ledgerおよび Trezorのリカバリーフレーズ、ブラウザの認証情報、ウォレットファイル、キーストローク、スクリーンショット、アプリケーションの映像記録などを窃取することを目的としています。
研究者がこの活動を初めて確認したのは2026年1月ですが、このキャンペーンで使われているダウンローダーコンポーネント「TookPS」自体は2025年3月から活動していたことが分かっています。
最新のフレームワークは、この活動を202020を超えるペイロードとインプラントを含むモジュール型プラットフォームへと拡張しており、攻撃者はSSHインフラを通じて遠隔から機能を展開できるようになっています。
初期侵害はClickFixのソーシャルエンジニアリング攻撃と、GitHub上でホストされているトロイの木馬化されたアプリケーションを通じて発生します。ある確認された事例では、攻撃者が検索結果の上位にランクインする偽のMicrosoft SQL Server Management Studioリポジトリを作成していました。
この「SSMS」としてダウンロードされるものは、実際には正規のAudacityアプリケーションを悪意あるライブラリインプラントで再パッケージ化したものでした。これにより正規のファイルであるかのように見せかけつつ、TookPSを実行していました。
実行されると、TookPSはSSHサービスをインストールし、攻撃者インフラへのトンネルを確立して、ローカルのSSHデーモンポートを転送します。
その後、自動化されたボットがこのトンネル経由で接続し、システムの情報を収集し、インストールされているセキュリティソフトウェアを特定し、ブラウザのプロファイル、Cookie、認証情報、暗号資産ウォレットファイルを収集して、デバイスをさらなる侵害に備えて準備します。
セキュリティ監査サービス

攻撃者はさらに、リモートデスクトップ経由でのグラフィカルなアクセスも可能にしています。具体的には、インバウンドのRDPファイアウォールルールを開放し、Remote Desktop Usersグループにユーザーを作成し、termsrv.dllにパッチを当てて同時セッションを許可し、「Apple Sync」という名前のスケジュールタスクを作成してRDPトラフィック用にリバースSSHトンネルを維持します。
これにより、従来のコマンド&コントロールチャネルへの依存を減らしながら、攻撃者は永続的かつインタラクティブなアクセスを得ることができます。
OkoBotマルウェア、ClickFixを悪用
本来のOkoBotチェーンの中核をなすコンポーネントがHDUtilです。このVMProtectで保護されたローンチャーは、さらなるペイロードを展開するもので、Windows RPCと自動昇格するmsconfig.exeバイナリを利用してユーザーアカウント制御(UAC)を回避できます。
GBhackersと共有されたレポートでKasperskyが述べたところによると、OkoBotは進化を続けるTookPSの活動と関連付けられています。TookPSは当初、侵害されたWindowsシステム上で情報窃取マルウェアを配布しSSHトンネルを確立する悪意あるPowerShellスクリプトと関連していました。

このローンチャーは、実行、プロセス列挙、グラフィックアダプターの検出、ファイルコピー、およびローカル管理者アカウントでの昇格実行(オプション)をサポートしています。
OkoBotは以前、Chromiumベースのブラウザにブラウザ拡張機能ローダーを注入していました。このローダーは悪意ある.crx拡張機能をインストールし、要求された権限を付与した上で、被害者に発覚しないようブラウザのUI要素を抑制します。
Kasperskyは、このフレームワークが暗号資産に特化したブラウザ情報窃取ツールであるRilideを展開していることを確認しました。Rilideは認証情報、Cookie、金融データを収集することで知られています。
最も懸念されるインプラントであるSeedHunterは、Electronベースで構築されたLedger Live、Ledger Wallet、Trezor Suiteといったアプリケーションを標的にしています。ウォレットのプロセスに注入し、Electronの内部関数をフックして偽のリカバリーページを表示させます。
moonsand[.]storeからのコマンド&コントロール応答の内容に応じて、このフィッシングプロンプトはすぐに表示される場合と、マルウェアがベンダーID・プロダクトIDを通じてLedgerまたはTrezorのUSBデバイスの接続を検知するまで待機する場合があります。
アンチウイルス& マルウェア
Waitフラグを含むJSONペイロード。このフラグがtrueに設定されている場合、マルウェアはVIDとPID(ベンダーIDおよびプロダクトID)でフィルタリングした定期的なUSBデバイススキャンを開始します。

被害者がシードフレーズを入力すると、SeedHunterはそれを検証し、ウォレットの種類、デバイス情報、ハードウェア識別子、復元されたフレーズを含むJSONペイロードとして外部に送信します。
このマルウェアはまた、被害者のHWIDを暗号化キーとして使用し、RC4で暗号化したコピーをsh_<timestamp>.jsonという名前で一時ディレクトリにローカル保存します。
その他のOkoBotプラグインには、クリップボードの内容、USBデバイス、スクリーンショットを記録するMC Keyloggerや、ウォレットアプリケーション、パスワードマネージャー、選定されたブラウザのウォレット拡張機能ウィンドウからキーストロークとMP4動画ストリームを記録するOkoSpywareがあります。
収集されたデータは、ローカルファイルとPowerShellの履歴が削除される前に、ir-post.phpというエンドポイントへ送信されます。
Kasperskyは252525を超える国々で数百人の被害者を検出しており、ブラジル、ベトナム、カナダ、メキシコ、トルコが最も大きな割合を占めています。
研究者らによると、この攻撃活動をまだ確定的に特定するには至っていないものの、SeedHunterのフィッシングテンプレートに含まれるロシア語のコメント、Rilideの使用、CIS諸国に対するジオブロッキングといった要素から、ロシア語圏のサイバー犯罪エコシステムとの関連が疑われるとしています。
正規のLedgerおよびTrezorのソフトウェアがデスクトップのポップアップでシードフレーズの入力を求めることはないため、組織や暗号資産ユーザーは、予期しないウォレットリカバリーのプロンプトを悪意あるものとして扱うべきです。
また、ユーザーはClickFixページからコピーしたターミナルコマンドの実行を避け、ソフトウェアのダウンロードは公式ベンダーのチャネルを通じて行っているか確認し、Windowsのエンドポイントで不正なSSHサービス、改ざんされたtermsrv.dll、リバーストンネル、「Apple Sync」というスケジュールタスクがないかを確認する必要があります。
2019年のSOC向けに書かれたSLAを受け入れるのはもうやめましょう — 2026年版AI SLAベンダーチェックリストはこちら — 無料のAI SOC SLAガイドをダウンロード
翻訳元: https://gbhackers.com/okobot-malware-uses-clickfix/