カスペルスキーが暗号資産ウォレットを標的とするOkoBotマルウェア・フレームワークを発見

Kasperskyは、水曜付のレポートによると、暗号資産投資家を狙う新しいマルウェアのフレームワークを発見した。OkoBotと名付けられたこのマルウェアは、ClickFixや、バックドアを感染端末に届けるトロイ化されたGitHubアプリといったソーシャルエンジニアリング手法を通じて感染チェーンを開始する。Kasperskyは、2026年1月以降、このマルウェアファミリーに関わる複数の攻撃を確認している。このマルウェアは、2025年に最初に特定されたキャンペーンであるTookPSから進化したもので、偽のソフトウェアWebサイトを通じてトロイの木馬ダウンローダーを配布していた。別件としてSlowMistは土曜、偽のLinkedInの求人募集によってWeb3開発者を狙うマルウェアキャンペーンがあると報告し、技術面接資料を装った悪意のあるGitHubリポジトリを通じてリモートアクセス型トロイの木馬を送り込むとしている。

OkoBotフレームワークはSSHトンネルのアーキテクチャでウォレットファイルを収集

Kasperskyはレポートで、OkoBotマルウェアが暗号資産ウォレットファイル、ブラウザデータ、ユーザー資格情報を収集し、悪意のある拡張機能を注入し、ウォレットアプリのウィンドウを捕捉して資産を盗むことができると記した。このフレームワークは、SSHトンネル経由で20個すべての悪意のあるペイロードを統括することで、これまでのキャンペーンと異なる。これにより、感染したコンピュータから攻撃者が制御するリモートマシンへデータを遠隔で転送できる。Kasperskyはさらに、このマルウェアフレームワークがコピキャット攻撃への道を開くと付け加えた。

偽のLinkedIn採用担当がGitHubリポジトリ経由でトロイの木馬を配達

SlowMistによると、攻撃者はLinkedInを通じてブロックチェーン開発者に接触し、Web3のリクルーターを装う。被害者には、同社によれば、土曜のレポートで技術面接の前に試す必要がある最低限の実用製品(MVP)が含まれているとしている偽のGitHubリポジトリが送られる。攻撃の見抜きにくさを生むのは、開発者がコードを引いて依存関係をインストールし、プロジェクトを起動するという、正当な技術面接の手順に非常によく似ている点だ。このマルウェアは、デバイスに感染する完全なリモートアクセス型トロイの木馬の配達を狙い、攻撃者がこれらの開発者からプロジェクトキー、クラウド資格情報、またはウォレット拡張データを盗めるようにする。

SlowMistは攻撃をより広い開発者対象キャンペーンに結び付け

SlowMistは、この攻撃は孤立した事例ではないとして、最近の一連の出来事は、攻撃者が募集、コードレビュー、プロジェクトの共同作業といった状況を利用して、開発者に悪意のあるリポジトリを“自ら”実行させるケースが増えていることを示していると書いた。レポートは、SlowMistが別のマルウェアキャンペーンとして、macOSユーザーを狙い、資格情報を盗み、最終的に偽のWebサイトを通じて投資家をウォレットのリカバリーフレーズの入力へ誘導するためにTelegramセッションをハイジャックする狙いがあると警告した翌日に出された。

よくある質問

OkoBotマルウェアとは何で、いつ特定されたのか?
OkoBotは暗号資産投資家を狙うマルウェアフレームワークで、水曜のレポートでKasperskyが発見した。Kasperskyは、2026年1月以降、このマルウェアファミリーに関わる複数の攻撃を確認している。このマルウェアは、ClickFixやトロイ化されたGitHubアプリといったソーシャルエンジニアリング手法を通じて感染チェーンを開始する。

偽のLinkedIn採用キャンペーンはどのようにWeb3開発者を狙うのか?
SlowMistの土曜のレポートによると、攻撃者はLinkedInを通じてブロックチェーン開発者に接触し、Web3のリクルーターを装う。被害者には、同社によれば、面接の前に試す必要がある最低限の実用製品(MVP)が含まれていると主張する偽のGitHubリポジトリが送られる。このワークフローは正当な技術面接に似ており、攻撃に気づきにくい。

OkoBotマルウェアは感染端末からどんなデータを盗むのか?
Kasperskyによると、OkoBotマルウェアは暗号資産ウォレットファイル、ブラウザデータ、ユーザー資格情報を収集し、悪意のある拡張機能を注入し、ウォレットアプリのウィンドウを捕捉して資産を盗むことができる。このフレームワークはSSHトンネル経由で20個すべての悪意のあるペイロードを統括し、感染したコンピュータから攻撃者が制御するマシンへデータを遠隔で転送できる。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし