OkoBot Malware Framework Injects Seed Phrase Phishing Into Ledger and Trezor Apps

1 minute de lecture

Mis à jour :

Menace OkoBot : Vol de phrases de récupération sur portefeuilles matériels

Le framework malveillant OkoBot, actif depuis avril 2025, cible les utilisateurs de portefeuilles matériels (Ledger, Trezor) sur Windows. Il utilise un module spécifique nommé SeedHunter capable d’injecter des pages de phishing directement dans les applications de bureau légitimes (Ledger Live, Trezor Suite) pour dérober les phrases de récupération (seed phrases).

Points clés

  • Mode opératoire : Après infection via des logiciels vérolés (ex: faux installeurs SSMS) ou des tactiques de type “ClickFix”, OkoBot déploie divers outils de surveillance, de capture d’écran et d’enregistrement de frappes clavier.
  • Technique d’injection : SeedHunter surveille la connexion USB des appareils. Lorsqu’un portefeuille est détecté, il affiche une fausse interface de récupération au sein même de l’application officielle, rendant la supercherie difficile à distinguer pour l’utilisateur.
  • Persistance : Le malware modifie termsrv.dll pour permettre des accès RDP concurrents non autorisés et utilise des tâches planifiées (ex: “Apple Sync”) pour maintenir des tunnels SSH inverses vers les serveurs des attaquants.
  • Vulnérabilité exploitée : Il n’existe pas de faille logicielle dans les portefeuilles eux-mêmes ; OkoBot exploite le système d’exploitation Windows via un contournement RPC UAC (documenté en 2019 par Google Project Zero).

Recommandations de sécurité

  • Ne jamais saisir sa phrase de récupération sur un ordinateur : Les portefeuilles matériels ne demandent jamais la saisie de la seed phrase sur l’interface de l’application de bureau, sauf cas très spécifiques (comme le Trezor Model One, uniquement si l’écran de l’appareil le sollicite explicitement).
  • Surveillance des indicateurs (IoC) : Vérifiez régulièrement la présence de tâches planifiées nommées “Apple Sync”, la modification anormale de termsrv.dll, ou des accès inattendus dans le groupe “Utilisateurs du Bureau à distance”.
  • Intégrité des fichiers : Surveillez la présence des répertoires suspects tels que %PROGRAMDATA%\HDVideo\HDUtil.exe et l’activité réseau sortante SSH inhabituelle depuis vos postes de travail.
  • Prudence logicielle : Téléchargez uniquement vos outils et logiciels depuis les sources officielles pour éviter les versions “trojanisées” diffusées sur GitHub ou des sites tiers.

Source