⚡ Não perca: notícia importante no ar! ⚡

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma estrutura de malware chamada OkoBot está em execução em máquinas Windows desde abril de 2025, e um de seus módulos foi desenvolvido para enganar os proprietários de carteiras de hardware e tirá-los de sua frase de recuperação.

Em um PC infectado, a solicitação vem do próprio software de desktop da carteira. Às vezes, ele espera até você conectar o dispositivo primeiro. A página é maliciosa. O aplicativo em torno dele é o verdadeiro que você instalou e a frase é carteira.

A equipe GReAT da Kaspersky publicou a desmontagem na quarta-feira, contando centenas de vítimas em sua telemetria em mais de 25 países. A maior parcela de usuários atacados está no Brasil, Vietnã, Canadá, México e Turquia.

Quantos deles digitaram uma frase, o relatório não informa. O OkoBot carrega mais de 20 cargas úteis e implantes e ainda estava ativo no relatório de 15 de julho.

SeedHunter espera pelo dispositivo

SeedHunter é o módulo OkoBot que rouba a frase. Assim que a estrutura chega, ela observa Trezor Suite, Ledger Wallet e Ledger Live, injeta em tudo o que encontra e conecta os componentes internos do Electron do aplicativo. Em seguida, ele solicita seu C2 na moonsand[.]store.

Se o servidor definir um sinalizador de espera, o SeedHunter verifica o USB por fornecedor e ID do produto e fica parado até que um Ledger ou Trezor real seja conectado. Só então ele desenha uma página de recuperação codificada, um layout por marca. Com a bandeira desativada, a página aparece imediatamente. A frase digitada vai para o próprio console da página atrás de um marcador @:app:print e o mal_LogConsoleMessage ganchado a pega. Ele sai como JSON, com uma cópia RC4 colocada em um arquivo temporário.

A carteira de hardware não é o que quebra. Ele faz a única coisa para a qual foi criado, que é se recusar a desistir da chave, e não pode impedir que seu software complementar solicite a frase.

Nenhuma das metades do truque é nova. O Moonlock Lab rastreou ladrões de macOS fazendo a versão swap e a THN cobriu aqueles aplicativos clonados do Ledger Live: o AMOS eliminou o Ledger Live e lançou um clone trojanizado em /Applications exigindo as 24 palavras.

O GlassWorm acionou o USB no Windows em março, usando o WMI para detectar a entrada de um dispositivo e abrindo sua própria janela após encerrar o aplicativo real. O que o SeedHunter muda é onde a página é desenhada. Ele deixa o aplicativo em execução e desenha dentro dele.

O SSMS que na verdade era audácia

Duas formas principais de entrada: uma isca ClickFix e software trojanizado no GitHub. O repositório Kaspersky desmontou o SQL Server Management Studio anunciado. O que foi lançado foi o Audacity, o editor de áudio, reconstruído com um implante malicioso dentro de uma de suas bibliotecas. Ficou em primeiro lugar em SSMS. Viveu do final de março de 2025 a junho.

Ambos os caminhos executam o TookPS, um downloader do PowerShell que a Kaspersky rastreia desde março de 2025, quando acessou páginas falsas do DeepSeek e, em seguida, sites falsos de download de software empresarial. Ele instala o SSH, disca para um servidor controlado pelo invasor, encaminha a porta do daemon SSH local e aguarda. Mais tarde, um bot SSH automatizado se conecta novamente através do túnel.

O bot faz o inventário da caixa até o AV instalado e, em seguida, arrasta arquivos de carteira, cookies, perfis de navegador e credenciais através do túnel. Ele silencia as notificações do Defender com uma gravação no registro e constrói uma mesa:

Abre o firewall para RDP de entrada

Adiciona uma conta ao grupo Usuários da Área de Trabalho Remota

Substitui termsrv.dll por uma versão corrigida que permite sessões RDP simultâneas

Registra uma tarefa agendada chamada Apple Sync que reconstrói um túnel SSH reverso para a porta RDP local a cada hora

Os módulos chegam por SFTP depois disso. Um iniciador com VMProtect chamado HDUtil os executa e pode elevá-los silenciosamente por meio de um bypass UAC do Windows RPC que o Project Zero documentou em 2019.

A última entrega é o Volume2, um utilitário de código aberto que carrega um protobuf.dll malicioso que descriptografa e inicia a carga real: um despachante de plug-in pesquisando seu C2 a cada 20 segundos. A Kaspersky recuperou cinco plugins. Um deles é um injetor de processo, e é isso que coloca o SeedHunter em funcionamento.

O resto do kit é vigilância. OkoSpyware monitora mais de 100 executáveis, Exodus e 1Password entre eles. Ele filma a janela correspondente para MP4 com um FFmpeg incluído e registra as teclas digitadas nele.

Os títulos do navegador são correspondidos com regex, então uma guia MetaMask ou Tonkeeper é gravada. MC Keylogger cobre entrada, área de transferência, dispositivos USB e faz uma captura de tela a cada cinco minutos. Um carregador instala extensões ocultas do Chromium com todas as permissões concedidas; Rilide, um ladrão de Chromium usado por agentes de ameaças de língua russa desde abril de 2023, foi o que instalou.

De quem é a estrutura?

A Kaspersky não nomeará um ator: "não podemos atribuir esta campanha maliciosa a nenhum ator conhecido de crimeware". Os servidores que hospedam o PowerShell de primeiro estágio retornam uma resposta vazia aos IPs russos e CIS. Rilide participa de fóruns de língua russa somente para convidados.

As páginas de phishing do SeedHunter trazem mensagens russas
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #okobot #malware #framework #injeta #phishing #de #frase #inicial #em #aplicativos #ledger #e #trezor
💡 Compartilhe e ajude nosso projeto a crescer!

Post a Comment