OkoBot Framework: Yeni Tehdit
Yeni bir kötü niyetli framework olan OkoBot, kripto para cüzdanı kurtarma ifadeleri, kimlik bilgileri ve diğer hassas verileri çalmak amacıyla 20’den fazla payload sunarak saldırılarda yer alıyor. Bu saldırılar, ClickFix saldırıları veya meşru yazılım araçları barındıran kötü amaçlı GitHub kayıtları aracılığıyla hedeflenen kullanıcılara ulaşıyor.
Saldırı Nasıl Çalışıyor?
OkoBot’un saldırı süreci, Kaspersky’nin bulgularına göre, bir yıldan uzun süredir devam ediyor ve önceki kötü niyetli PowerShell scripti TookPS’den evrim geçirerek oluşmuştur. Ancak, enfeksiyon zinciri tamamen değiştirilmiş olup, çok aşamalı saldırı süreçleri içermektedir. TookPS, ilk aşamada bir SSH botu yüklemek ve diğer kötü amaçlı bileşenleri dağıtmak için kullanılmaktadır.
SSH botu, sistem bilgilerini (kullanıcı adı, antivirüs yazılımı, IP adresi, işletim sistemi versiyonu) toplamakla birlikte, Windows Defender bildirimlerini devre dışı bırakma görevini de üstlenmektedir. Bunun yanı sıra, kripto para cüzdanı dosyalarını, tarayıcı çerezlerini ve hesap kimlik bilgilerini toplamaktadır.
Etkilenen Sistemler
OkoBot’un kullandığı 20 modülden bazıları şunlardır:
- ext daemon/extl.exe: Chrome tarayıcılarına sızarak, Rilide gibi kimlik bilgileri, çerezler, mali bilgiler ve kripto para verilerini hedefleyen kötü niyetli uzantıları sessizce yükler ve gizler.
- SeedHunter: Trezor Suite, Ledger Wallet ve Ledger Live’a sızarak, kurbanların cüzdan kurtarma ifadelerini çalmak için sahte bir cüzdan kurtarma ekranı gösterir.
- MC Keylogger: Tuş vuruşlarını ve panodaki aktiviteleri kaydeder ve her 5 dakikada bir ekran görüntüsü alır.
- OkoSpyware: Kripto para cüzdanları ve şifre yöneticileri gibi 100 programı izler ve bu uygulamaların pencerelerinin video kaydını yapar.
Cüzdan kurtarma ifadeleri, bir kullanıcının kripto varlıklarına tam erişim sağladığı için oldukça önemlidir. Eğer saldırganlar bu ifadeleri elde ederse, fonları kendi kontrol ettikleri cüzdanlara aktarabilirler ve geri alma imkanı neredeyse yoktur.
Kurbanların Dağılımı
Kaspersky’nin telemetri verilerine göre, OkoBot’un en çok kurbanı Brezilya’da bulunmakta ve bunu Vietnam, Kanada, Meksika ve Türkiye takip etmektedir. Ancak, kampanyanın etkisi küresel olarak yayılmaktadır.
OkoBot faaliyetleri, Ocak ayında TookPS kampanyasının evrimi olarak ilk kez gözlemlenmiştir. Kaspersky, OkoBot kampanyasını herhangi bir tehdit aktörüne atfetmemekle birlikte, saldırının başlangıç aşamasındaki PowerShell skriptlerini barındıran sunuculara erişimin coğrafi olarak engellendiğini bildirmiştir. Özellikle Rusya veya Bağımsız Devletler Topluluğu (CIS) bölgesinden gelen IP adreslerine sahip kullanıcılar payload’ları alamamaktadır.
Yine, SeedHunter modülünün kaynak kodunda bulunan Rusça yorumlar ve sadece davetiyeli Rus siber suç forumlarında aktif şekilde tanıtılan infostealer kullanımı, Rusça konuşan bir tehdit aktörüne işaret etmektedir.
Çözüm ve Korunma
Kaspersky’nin raporu, kötü niyetli eklentiler, enjeksiyon yükleri, SSH botu yardımcı programları, dosya yolları, alan adları ve IP adresleri için tehdit göstergeleri içermekte. Korunmak adına yapılması gerekenler:
- Antivirüs yazılımlarını güncelleyin ve taramaları düzenli olarak gerçekleştirin.
- Şüpheli GitHub kayıtlarına veya yazılara tıklamayın.
- Kritik sistemler üzerinde Port kapama işlemleri gerçekleştirin.
- Güçlü ve eşsiz şifrelemeler kullanarak hesap güvenliğini arttırın.
Bu saldırılara karşı dikkatli olmak ve gerekli önlemleri almak, kullanıcıların veri güvenliğini sağlamak açısından oldukça kritiktir. Gerekli güncellemeler yapılmadığı sürece, sistemler risk altında kalacaktır.


