OkoBotと呼ばれる新たな悪意のあるフレームワークが登場し、20種類を超えるペイロードを展開して仮想通貨ウォレットのシードフレーズや認証情報などの機密データを狙う攻撃を行っています。
OkoBotはClickFix攻撃や、正規のソフトウェアツールを装った悪意のあるGitHubリポジトリを通じて被害者に到達します。
ある事例では、SQL Server Management Studio(SSMS)を提供すると謳うリポジトリが、実際にはトロイの木馬化されたバージョンのオーディオ編集ツール「Audacity」を投下していました。
サイバーセキュリティ企業Kasperskyの研究者によると、OkoBotキャンペーンは1年以上にわたって継続しており、悪意のあるPowerShellスクリプト「TookPS」を配布していた活動から進化したものだといいます。
ただし、感染の連鎖は完全に変化しており、複数の攻撃段階を経る形になっています。最初の段階ではTookPSが使われ、SSHボットのインストールと設定を行い、そのボットが他の悪意のあるコンポーネントを配信する仕組みです。

このSSHボットは、ユーザー名やアンチウイルスソフト、IPアドレス、OSバージョンといったシステム情報の収集や、Windows Defenderの通知の無効化も担っています。さらに、仮想通貨ウォレットのファイルやブラウザのクッキー、アカウントの認証情報も収集します。
OkoBotがこれらの攻撃で使用する20個のモジュールのうち、特に注目すべきものは以下の通りです。
- ext daemon/extl.exe: Chromeブラウザに侵入し、Rilideのような悪意のある拡張機能を密かにインストール・隠蔽します。Rilideは認証情報、クッキー、金融情報、仮想通貨関連データを標的とします。
- SeedHunter: Trezor Suite、Ledger Wallet、Ledger Liveに侵入し、偽のシード復元画面を表示することで被害者からウォレットの復元フレーズを盗み出すよう設計されています。
- MC Keylogger: キー入力やクリップボードの操作(コピーされたテキスト、画像、ファイルパスを含む)を記録するほか、USB接続の監視や5分ごとのスクリーンショット撮影も行えます。
- OkoSpyware: 仮想通貨ウォレットやパスワードマネージャーなど100種類のプログラムを監視し、FFmpegを使ってそれらのウィンドウの動画を録画するとともに、キー入力も記録します。
重要な点として、ウォレットの復元フレーズを知られてしまうと、ユーザーの仮想通貨資産に完全にアクセスされてしまうことが挙げられます。攻撃者がこれを入手すれば、資金を自分たちの管理下にあるウォレットへ送金することができ、事実上取り戻すことは不可能です。

Kasperskyのテレメトリによると、OkoBotの被害者の大半はブラジルに集中しており、続いてベトナム、カナダ、メキシコ、トルコの順となっています。もっとも、キャンペーンの影響範囲は世界規模に及んでいます。
OkoBotの活動が最初に観測されたのは1月で、2025年3月から続くTookPSキャンペーンから進化したものとされています。
KasperskyはOkoBotキャンペーンを特定の脅威アクターに帰属させてはいないものの、研究者らは攻撃の初期段階で使われるPowerShellスクリプトをホストするサーバーへのアクセスが、地理的にブロックされていることを明らかにしました。
ロシアや独立国家共同体(CIS)圏のIPアドレスを使用した場合にはペイロードが配信されず、サーバーが空のレスポンスを返すことが確認されています。
ロシア語圏の脅威アクターを示唆するその他の手がかりとして、SeedHunterモジュールのソースコードにロシア語のコメントが含まれていることや、招待制のロシアのサイバー犯罪フォーラムで積極的に宣伝されている情報窃取型マルウェアが使用されている点が挙げられます。
攻撃者に先んじて、すべての防御層をテストする
セキュリティチームが検知できているのは、成功した攻撃のうち54%にとどまり、アラートが上がるのはわずか14%です。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。