إطار البرمجيات الخبيثة يسمى OkoBot تم تشغيله على أجهزة Windows منذ أبريل 2025، وقد تم تصميم إحدى وحداته لإبعاد مالكي محافظ الأجهزة عن عبارة الاسترداد الخاصة بهم.

وعلى جهاز الكمبيوتر المصاب، يأتي الطلب من داخل برنامج سطح المكتب الخاص بالمحفظة. في بعض الأحيان ينتظر حتى تقوم بتوصيل الجهاز أولاً. الصفحة ضارة. التطبيق المحيط به هو التطبيق الحقيقي الذي قمت بتثبيته، والعبارة هي المحفظة.

ونشر فريق GReAT التابع لشركة Kaspersky عملية التفكيك يوم الأربعاء، وأحصى مئات الضحايا في القياس عن بعد عبر أكثر من 25 دولة. الحصة الأكبر من المستخدمين الذين تعرضوا للهجوم موجودة في البرازيل وفيتنام وكندا والمكسيك وتركيا.

كم منهم كتب عبارة، لا يذكر التقرير. يحمل OkoBot أكثر من 20 حمولة وزرعًا، وكان لا يزال نشطًا اعتبارًا من تقرير 15 يوليو.

SeedHunter ينتظر الجهاز

SeedHunter هي وحدة OkoBot التي تسرق العبارة. بمجرد وصول الإطار، فإنه يراقب Trezor Suite، وLedger Wallet، وLedger Live، ويدخل في أي شيء يجده، ويربط الأجزاء الإلكترونية الداخلية للتطبيق. ثم يسأل C2 في moonsand[.]store.

إذا قام الخادم بتعيين أ Wait العلم، يقوم SeedHunter بمسح USB حسب البائع ومعرف المنتج ويظل ثابتًا حتى يتم توصيل Ledger أو Trezor حقيقي. عندها فقط يقوم برسم صفحة استرداد مشفرة، تخطيط واحد لكل علامة تجارية. مع إزالة العلامة، تظهر الصفحة على الفور. تنتقل العبارة المكتوبة إلى وحدة التحكم الخاصة بالصفحة خلف ملف @:app:print علامة، ومدمن مخدرات mal_LogConsoleMessage يلتقطها. ويترك بتنسيق JSON، مع إسقاط نسخة RC4 في ملف مؤقت.

محفظة الأجهزة ليست هي ما يتم كسره. إنه يفعل الشيء الوحيد الذي تم تصميمه من أجله، وهو رفض التخلي عن المفتاح، ولا يمكنه منع البرنامج المرافق له من مطالبتك بهذه العبارة بدلاً من ذلك.

ولا يعد أي من نصف الحيلة جديدًا. قام Moonlock Lab بتتبع سارقي macOS الذين قاموا بإصدار المبادلة، وقامت THN بتغطية تطبيقات Ledger Live المستنسخة: قتل AMOS Ledger Live وأسقط نسخة طروادة في /Applications المطالبة بـ 24 كلمة.

قامت شركة GlassWorm بتشغيل USB على نظام التشغيل Windows في شهر مارس، باستخدام WMI لاكتشاف الجهاز الذي يدخل، ثم فتح النافذة الخاصة بها بعد إيقاف التطبيق الحقيقي. ما يغيره SeedHunter هو المكان الذي يتم فيه رسم الصفحة. فهو يترك التطبيق قيد التشغيل ويسحب بداخله.

SSMS الذي كان في الواقع الجرأة

طريقتان رئيسيتان: إغراء ClickFix، وبرنامج طروادة على GitHub. قام الريبو Kaspersky بتفكيك SQL Server Management Studio المعلن عنه. ما تم شحنه هو برنامج Audacity، محرر الصوت، الذي أعيد بناؤه باستخدام برنامج خبيث مزروع داخل إحدى مكتباته. لقد احتلت المرتبة الأولى لـ SSMS. عاش من أواخر مارس 2025 إلى يونيو.

ينفذ كلا المسارين برنامج TookPS، وهو برنامج تنزيل PowerShell الذي تتبعه Kaspersky منذ مارس 2025، عندما استخدم صفحات DeepSeek المزيفة، ثم مواقع تنزيل برامج الأعمال المزيفة. يقوم بتثبيت SSH، ويطلب خادمًا يتحكم فيه المهاجم، ويعيد توجيه منفذ SSH الخفي المحلي، وينتظر. وفي وقت لاحق، يتصل روبوت SSH الآلي مرة أخرى عبر النفق.

يقوم الروبوت بجرد الصندوق وصولاً إلى AV المثبت، ثم يسحب ملفات المحفظة وملفات تعريف الارتباط وملفات تعريف المتصفح وبيانات الاعتماد للخارج عبر النفق. يعمل على إسكات إشعارات Defender من خلال كتابة التسجيل وإنشاء مكتب لنفسه:

  1. يفتح جدار الحماية لـ RDP الوارد
  2. إضافة حساب إلى مجموعة مستخدمي سطح المكتب البعيد
  3. يستبدل termsrv.dll مع بنية مصححة تسمح بجلسات RDP المتزامنة
  4. يسجل مهمة مجدولة تسمى Apple Sync الذي يعيد بناء نفق SSH عكسي لمنفذ RDP المحلي كل ساعة

تصل الوحدات عبر SFTP بعد ذلك. يقوم مشغل VMProtect المعبأ والمسمى HDUtil بتشغيلها ويمكنه رفعها بصمت من خلال تجاوز Windows RPC UAC الذي وثقه Project Zero في عام 2019.

التسليم الأخير هو Volume2، وهي أداة مساعدة مفتوحة المصدر تحمل برنامجًا ضارًا protobuf.dll يقوم بفك تشفير الحمولة الحقيقية وبدء تشغيلها: يقوم مرسل البرنامج الإضافي باستقصاء C2 الخاص به كل 20 ثانية. استعاد Kaspersky خمسة مكونات إضافية. الأول هو حاقن العملية، وهذا ما يضع SeedHunter في مكانه الصحيح.

بقية المجموعة هي المراقبة. يراقب برنامج OkoSpyware ما يزيد عن 100 ملف تنفيذي، وExodus، و1Password من بينها. يقوم بتصوير النافذة المطابقة لـ MP4 باستخدام FFmpeg المجمعة ويسجل ضغطات المفاتيح فيها.

تتم مطابقة عناوين المتصفح مع التعبير العادي، لذلك يتم تسجيل علامة التبويب MetaMask أو Tonkeeper. يغطي MC Keylogger الإدخال والحافظة وأجهزة USB ويلتقط لقطة شاشة كل خمس دقائق. يقوم المُحمل بتثبيت ملحقات Chromium المخفية مع كل إذن يتم منحه؛ Rilide، وهو برنامج سرقة Chromium الذي تستخدمه جهات التهديد الناطقة باللغة الروسية منذ أبريل 2023، هو ما تم تثبيته.

إطار من هو؟

ولم تذكر كاسبرسكي اسم أي ممثل: “لا يمكننا أن نعزو هذه الحملة الخبيثة إلى أي جهة معروفة لبرامج الجريمة”. تقوم الخوادم التي تستضيف PowerShell للمرحلة الأولى بإرجاع استجابة فارغة لعناوين IP الروسية ورابطة الدول المستقلة. يتحرك Rilide في المنتديات الناطقة بالروسية المخصصة للدعوة فقط.

تحمل صفحات التصيد الاحتيالي SeedHunter تعليقات روسية. وهذه إشارات ناعمة، ويتعامل معها التقرير على هذا النحو.

لا توجد محفظة CVE ولا يوجد تصحيح بائع يغلق هذا المسار. إنها تهبط على نقطة النهاية بدلاً من ذلك، وتكون القطع الأثرية محددة بدرجة كافية للبحث عنها:

  • مهمة مجدولة اسمها Apple Sync
  • %PROGRAMDATA%\hwid.dat, %PROGRAMDATA%\HDVideo\HDUtil.exe, %USERPROFILE%\.ssh\go.bat
  • termsrv.dll تم تغييره من بنيته المشحونة
  • الحسابات في مستخدمي سطح المكتب البعيد التي لم يضيفها أحد
  • SSH الصادر من نقاط نهاية المستخدم
  • ملحقات في Local Extension Settings التي لا تظهر أبدًا في قائمة ملحقات المتصفح

يحتوي منشور Kaspersky على التجزئات ومجالات C2. يرسم البائعون الخط على الجهاز. يقول ليدجر إن العبارة لا تذهب إلى أي مكان سوى ليدجر نفسه.

تقول Trezor Suite إنها لن تطلب منك أبدًا كتابة النسخة الاحتياطية، على الرغم من أن الاسترداد القياسي للطراز One يأخذ الكلمات الموجودة في Suite، وفقط عندما يطلب الجهاز ذلك. الصفحة التي تظهر لأنك قمت بالتوصيل، دون أن يكون هناك أي شيء على شاشة الجهاز خلفها، هي الصفحة التي تخبرك بذلك.

ثم إعادة البناء في مارس 2026. ذهب تيفيرات. لقد اختفى HDUtil الذي يمتد إلى سلسلة Rilide، وتم طيه في مكون إضافي واحد للمرسل يقوم بنفس الوظيفة. يأتي Volume2 الآن مباشرة من TookPS. لا أحد يقوم بتقليم قاعدة التعليمات البرمجية التي هم على وشك الابتعاد عنها.

شاركها.
اترك تعليقاً