OkoBot Malware Framework Injects Seed Phrase Phishing Into Ledger and Trezor Apps
OkoBot, ein Malware-Framework, infiziert Windows-Systeme, um Hardware-Wallet-Besitzer zu täuschen. Es schleust Phishing-Anfragen für Seed-Phrasen direkt in die Desktop-Apps von Ledger und Trezor ein. Nutzer sollten wachsam sein und niemals ihre Wiederherstellungsphrase digital eingeben, selbst wenn die Aufforderung legitim erscheint.
Das OkoBot-Malware-Framework infiziert Windows-Systeme und schleust Phishing-Anfragen für Seed-Phrasen direkt in die Desktop-Anwendungen von Ledger und Trezor ein. Ziel ist es, Hardware-Wallet-Besitzer zur Preisgabe ihrer Wiederherstellungsphrasen zu verleiten. Nutzer sollten wachsam sein und niemals ihre Seed-Phrase digital eingeben.
Nutzer von Windows-Systemen, die die Desktop-Anwendungen von Ledger oder Trezor für ihre Hardware-Wallets verwenden.
Diese Malware umgeht traditionelle Phishing-Erkennung, indem sie sich in legitime Anwendungen einschleust, was die Unterscheidung zwischen echten und bösartigen Aufforderungen erschwert. Der Verlust einer Seed-Phrase führt zum vollständigen Verlust der Kontrolle über die Kryptowährungsbestände.
Ein betroffener Nutzer gibt seine Seed-Phrase in eine manipulierte Ledger- oder Trezor-Anwendung ein, was zum sofortigen und unwiederbringlichen Diebstahl aller auf der Hardware-Wallet gespeicherten Kryptowährungen führt.
Informieren Sie Nutzer über die Gefahr von Seed-Phrase-Phishing, insbesondere innerhalb von Wallet-Anwendungen. Betonen Sie, dass eine Seed-Phrase niemals digital eingegeben werden sollte. Implementieren Sie Endpoint-Detection-and-Response-Lösungen (EDR) auf Windows-Systemen.
- ▸Überprüfen Sie EDR/Antivirus-Logs auf Erkennungen des OkoBot-Frameworks oder ungewöhnliche Prozessinjektionen in Ledger- oder Trezor-Anwendungen.
- ▸Führen Sie eine Überprüfung der installierten Software auf Windows-Systemen durch, um unbekannte oder verdächtige Anwendungen zu identifizieren.
- ▸Simulieren Sie Phishing-Szenarien, die auf die Eingabe von Seed-Phrasen abzielen, um die Sensibilisierung der Nutzer zu testen und zu verbessern.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Es schleust Phishing-Anfragen für Seed-Phrasen direkt in die Desktop-Apps von Ledger und Trezor ein. |
| Defense Evasion | T1055 Process Injection | High | Es schleust Phishing-Anfragen für Seed-Phrasen direkt in die Desktop-Apps von Ledger und Trezor ein. |
| Collection | T1552.001 Credentials from Password Stores: Keychain | Low | Es schleust Phishing-Anfragen für Seed-Phrasen direkt in die Desktop-Apps von Ledger und Trezor ein. |
- Der genaue Infektionsvektor für das OkoBot-Framework wird im Artikel nicht genannt.
- Es werden keine spezifischen IOCs (Indicators of Compromise) für OkoBot genannt.
- Es werden keine spezifischen Versionen der Ledger- oder Trezor-Anwendungen genannt, die betroffen sind.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Windows extern erreichbar?
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?