SecBoard
Zurück zur Übersicht

OkoBot: new sophisticated malware framework targets cryptocurrency users

Securelist·
Originalartikel lesen bei Securelist

OkoBot ist ein neues, hochentwickeltes Malware-Framework, das Kryptowährungsnutzer ins Visier nimmt. Es fängt Inhalte von Krypto-Wallet-Fenstern ab und nutzt eine mehrstufige Infektionskette, die über einen SSH-Tunnel orchestriert wird. Betroffene sollten auf verdächtige Software achten und die Erkennung durch Kaspersky-Produkte wie Trojan-Downloader.Win32.TookPS.* beachten.

Kurzfassung

OkoBot ist ein neues, hochentwickeltes Malware-Framework, das Kryptowährungsnutzer ins Visier nimmt. Es fängt Inhalte von Krypto-Wallet-Fenstern ab und nutzt eine mehrstufige Infektionskette, die über einen SSH-Tunnel orchestriert wird. Die Infektion erfolgt oft über gefälschte Software und ClickFix-Angriffe, die über Plattformen wie GitHub verbreitet werden.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Kryptowährungsnutzer und Organisationen im Finanzsektor, die mit Kryptowährungen arbeiten.

Warum relevant

Dieses Framework zielt direkt auf den Diebstahl von Kryptowährungen ab, indem es sensible Daten aus Wallet-Fenstern abfängt. Die mehrstufige Infektionskette und die Nutzung von SSH-Tunneln erschweren die Erkennung und Abwehr.

Realistisches Worst Case

Verlust von Kryptowährungsvermögen durch den Diebstahl von Wallet-Inhalten und potenziell weitere Kompromittierung von Systemen durch die Ausführung zusätzlicher Payloads.

Handlungsempfehlung

Überprüfung der Sicherheitsmaßnahmen für Kryptowährungs-Assets, Sensibilisierung der Nutzer für Phishing und gefälschte Software sowie Implementierung von Erkennungsmechanismen für verdächtige Netzwerkaktivitäten und PowerShell-Skripte.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre Netzwerkprotokolle auf ungewöhnliche SSH-Tunnelverbindungen zu externen Zielen.
  • Scannen Sie Endpunkte auf die Präsenz von PowerShell-Skripten wie TookPS und anderen verdächtigen ausführbaren Dateien, die nicht zur erwarteten Software gehören.
  • Validieren Sie, ob Ihre Endpoint Detection and Response (EDR)-Lösungen in der Lage sind, die Erkennung von Kaspersky-Produkten wie Trojan-Downloader.Win32.TookPS.* zu identifizieren und zu alarmieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingMediumNutzer sollten wachsam sein gegenüber ClickFix-Angriffen und gefälschter Software, die über Plattformen wie GitHub verbreitet wird, da dies primäre Infektionsvektoren sind.
ExecutionT1059.001 PowerShellHighDer mehrstufige Angriff, initiiert durch das TookPS PowerShell-Skript...
Command and ControlT1572 Protocol TunnelingHigh...nutzt eine mehrstufige Infektionskette, die über einen SSH-Tunnel orchestriert wird.
CollectionT1113 Screen CaptureHighEs fängt Inhalte von Krypto-Wallet-Fenstern ab...
ExfiltrationT1041 Exfiltration Over C2 ChannelLow...fängt Inhalte von Krypto-Wallet-Fenstern ab und nutzt eine mehrstufige Infektionskette...
Offene Punkte
  • Spezifische CVEs oder Schwachstellen, die von OkoBot ausgenutzt werden, sind nicht im Artikel genannt.
  • Die genauen Mechanismen der 'ClickFix-Angriffe' sind nicht detailliert beschrieben.
  • Die spezifischen 'über 20 bösartigen Payloads' werden nicht einzeln aufgeführt.
  • Die geografische Reichweite der Angriffe ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Ja
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Windows extern erreichbar?
  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?
Themen
GReAT researchMalware descriptionsMalware TechnologiesKeyloggersMalware DescriptionsMalwareMoney theftBackdoorCryptocurrenciesPowerShell