OkoBot: new sophisticated malware framework targets cryptocurrency users

1 minute de lecture

Mis à jour :

OkoBot : Un écosystème malveillant sophistiqué ciblant les cryptomonnaies

OkoBot est un framework modulaire actif depuis 2025, conçu pour infecter les utilisateurs de cryptomonnaies. Il s’appuie sur une infrastructure complexe orchestrée par des tunnels SSH et le script TookPS pour déployer plus de 20 charges utiles (payloads) malveillantes.

Points clés :

  • Vecteurs d’infection : Attaques de type “ClickFix” et logiciels légitimes corrompus (ex: faux paquets SQL Server sur GitHub).
  • Fonctionnement : Une fois le système compromis, le framework établit une persistance via des tunnels SSH inversés, modifie le registre, et injecte des modules DLL pour intercepter l’activité des navigateurs et des portefeuilles matériels.
  • Exfiltration : Utilisation de modules spécialisés (keylogger, capture vidéo d’écran) pour dérober des données sensibles, des phrases de récupération (seed phrases) et des accès aux portefeuilles.
  • Cibles : Utilisateurs mondiaux, avec une forte prévalence au Brésil, Vietnam, Canada, Mexique et en Turquie.

Vulnérabilités exploitées :

  • UAC Bypass : Utilisation d’une technique via Windows RPC et msconfig.exe pour obtenir des privilèges élevés (découverte par Project Zero en 2019).
  • Détournement de bibliothèques (DLL Hijacking) : Remplacement de fichiers système (termsrv.dll) et utilisation de bibliothèques malveillantes (protobuf.dll, version.dll) pour charger des implants.
  • Injection de processus : Hooking de fonctions internes aux moteurs de navigateurs Chromium pour installer des extensions furtives.

Recommandations de sécurité :

  • Méfiance logicielle : Télécharger uniquement des logiciels depuis des sources officielles et vérifier systématiquement les signatures numériques.
  • Surveillance réseau : Détecter et bloquer les connexions SSH inhabituelles ou sortantes vers des serveurs non identifiés, ainsi que l’utilisation suspecte du port RDP.
  • Gestion des privilèges : Restreindre les droits d’administration locale pour limiter l’impact d’une éventuelle élévation de privilèges.
  • Protection des endpoints : Maintenir les solutions antivirus à jour et surveiller la création de tâches planifiées suspectes (ex: tâches nommées “Apple Sync”).
  • Hygiène des cryptomonnaies : Ne jamais saisir de phrases de récupération (seed phrases) sur une page web ou dans une application tierce, même si l’interface semble légitime.

Source