OkoBot: Kripto Cüzdanlarını Hedef Alan Yeni Bir Tehdit
OkoBot, Nisan 2025’ten beri Windows makinelerinde faaliyet göstermekte olan bir kötü amaçlı yazılım çerçevesidir. Bu çerçevenin bir modülü, donanım cüzdanı sahiplerinin kurtarma ifadelerini ele geçirmeye yönelik tasarlanmıştır.
Saldırı Nasıl Çalışıyor?
OkoBot’un yaygın bir modülü olan SeedHunter, cüzdan yazılımının içinden gelen bir isteği bekler. Gerçek uygulamanız ile kötü amaçlı bir sayfa arasında geçiş yaparak, kullanıcının kurtarma ifadesini toplar. Kaspersky’nin GReAT ekibi, bu kötü amaçlı yazılımın, 25’ten fazla ülkede yüzlerce kurbanın verilerini topladığını raporlamıştır. En büyük saldırı etkileri, Brezilya, Vietnam, Kanada, Meksika ve Türkiye’de görülmüştür.
SeedHunter, Trezor Suite, Ledger Wallet ve Ledger Live gibi popüler cüzdan uygulamalarını hedef alır. Aşağıdaki süreçler ile saldırı gerçekleştirilir:
- Çerçeve, cüzdan uygulaması açıldığında, ezberlenmiş bir sahte sayfa sunar.
- Kötü amaçlı sayfa, kullanıcı cihazını taktıktan sonra etkinleşir.
- Kullanıcıdan bir kurtarma ifadesi girmesi istenir.
- Girilmiş ifade, uygulamanın arka planındaki konsola yönlendirilir.
Etkilenen Sistemler
OkoBot, çeşitli yollarla sistemlere sızabilir. Bu yollar arasında aşağıdakiler yer almaktadır:
- Kötü amaçlı yazılımların GitHub üzerinde dağıtımı.
- Trojan ile zenginleştirilmiş SQL Server Management Studio gibi sahte uygulamalar.
Kaspersky, TookPS adında bir PowerShell indiricisinin kullanılmasını rapor etmiştir. Bu araç, kurbanın bilgisayarındaki SSH bağlantısını sağlamak ve şifreli tünel oluşturarak saldırganın kontrolündeki sunucuya yönlendirmek için kullanılmaktadır.
Çözüm ve Korunma
OkoBot’u etkisiz hale getirmek için şu önlemleri almanız gerekmektedir:
- Yazılımlarınızı düzenli olarak güncelleyin ve güvenlik yamalarını uygulayın.
- Donanım cüzdanı sahipleri, asla kurtarma ifadesi istemeyen kaynaklar dışında bir sayfa ile etkileşimde bulunmamalıdır.
- Bilgisayarınızdaki rutin analizlerle şüpheli dosyaları ve görevleri kontrol edin.
Özel ipuçları:
- Aşırı dikkatli olun: Donanım cüzdanınızdan kurtarma ifadesini isteyen uygulamalara asla güvenmeyin.
- Ellerinizde bir cüzdan varsa: Lite veya geçici uygulamaları kullanmadan işlemlerinizi gerçekleştirin.
Sonuç olarak, cihazlarınıza ve cüzdan uygulamalarınıza dikkat ederek, saldırganların erişimini azaltmak için aşağıdaki adımları takip edin:
- Tüm yazılımlarınızı güncelleyin.
- Açık portları kontrol edin ve gereksiz olanları kapatın.
- Antivirüs yazılımlarınızı güncel tutun.
OkoBot’un etkilerini en aza indirmek için dikkatli ve proaktif davranarak, kişisel bilgilerinizi ve varlıklarınızı koruyun.


