Image credit: magnific
Manfaatkan Aplikasi Resmi Curi Recovery Phrase – Sebuah framework malware bernama OkoBot diketahui telah menyerang komputer berbasis Windows sejak April 2025.
Salah satu modulnya, yang diberi nama SeedHunter, dirancang secara khusus untuk mencuri recovery phrase (seed phrase) dari pengguna dompet kripto berbasis perangkat keras (hardware wallet), seperti Ledger dan Trezor.
Dari temuan ini diketahui bahwa ratusan korban telah teridentifikasi di lebih dari 25 negara, dengan jumlah terbanyak berasal dari Brasil, Vietnam, Kanada, Meksiko, dan Turki.
Menyalahgunakan Aplikasi Wallet Resmi
Berbeda dengan serangan yang menargetkan perangkat keras secara langsung, OkoBot memanfaatkan aplikasi desktop resmi yang digunakan untuk mengelola hardware wallet.
Setelah berhasil menginfeksi komputer korban, malware akan memantau keberadaan aplikasi seperti Ledger Live, Ledger Wallet, dan Trezor Suite.
Ketika salah satu aplikasi ditemukan, SeedHunter akan menyisipkan kode berbahaya ke dalam aplikasi tersebut dan memodifikasi antarmukanya.
Dalam beberapa kasus, malware bahkan menunggu hingga korban benar-benar menghubungkan perangkat Ledger atau Trezor ke komputer.
Setelah perangkat terdeteksi, aplikasi resmi tiba-tiba menampilkan halaman yang meminta pengguna memasukkan recovery phrase. Padahal, halaman tersebut sepenuhnya palsu.
Yang membuat serangan ini sangat berbahaya adalah aplikasi yang digunakan tetap merupakan aplikasi resmi yang sebelumnya telah diinstal oleh korban. Malware hanya menyisipkan halaman phising di dalam aplikasi tersebut sehingga tampak seolah-olah berasal dari vendor resmi.
Recovery Phrase Langsung Dikirim ke Server Penyerang
Setiap kata yang diketik korban pada halaman palsu akan direkam oleh SeedHunter, kemudian dikemas dalam format JSON sebelum dikirim ke server Command-and-Control (C2) milik pelaku.
Perlu dipahami bahwa hardware wallet tidak diretas dalam serangan ini.
Ledger maupun Trezor tetap menjalankan fungsi keamanannya dengan baik dan tidak pernah mengirimkan private key keluar dari perangkat. Yang diserang adalah komputer pendamping yang menjalankan aplikasi wallet.
Dengan kata lain, keamanan perangkat keras menjadi tidak berarti apabila pengguna secara sukarela memberikan recovery phrase kepada halaman phising yang muncul di aplikasi.
|
Baca juga: Ancaman Ganda Oracle Peretas Curi Data Lewat Celah Kritis |
Distribusi Malware Melalui GitHub dan ClickFix
Kaspersky menemukan dua metode utama yang digunakan pelaku untuk menyebarkan OkoBot.
Metode pertama adalah melalui teknik ClickFix, yaitu rekayasa sosial yang membujuk korban menjalankan perintah tertentu di komputer mereka.
Metode kedua memanfaatkan repositori GitHub palsu yang menawarkan perangkat lunak populer. Salah satu contoh yang ditemukan menyamar sebagai Microsoft SQL Server Management Studio (SSMS).
Alih-alih menginstal SSMS, korban justru memperoleh versi Audacity yang telah dimodifikasi dan disisipi malware pada salah satu pustaka (library)-nya.
Repositori tersebut bahkan sempat muncul pada peringkat teratas hasil pencarian GitHub selama beberapa bulan sebelum akhirnya dihapus.
Infeksi Berlanjut Melalui TookPS
Setelah malware dijalankan, komponen bernama TookPS akan diaktifkan.
TookPS merupakan pengunduh (downloader) berbasis PowerShell yang sebelumnya juga ditemukan pada kampanye situs palsu bertema DeepSeek dan berbagai perangkat lunak bisnis.
Komponen ini memasang layanan SSH pada komputer korban, membuka jalur komunikasi terenkripsi menuju server pelaku, lalu menunggu instruksi lanjutan.
Selanjutnya, pelaku melakukan inventarisasi sistem, termasuk perangkat lunak antivirus yang digunakan, sebelum mencuri berbagai data penting seperti:
- File dompet kripto.
- Cookie browser.
- Kredensial pengguna.
- Profil browser.
- Informasi sistem.
Selain itu, malware juga memodifikasi konfigurasi Windows agar pelaku dapat mengakses komputer korban dari jarak jauh melalui Remote Desktop Protocol (RDP).
Dilengkapi Modul Mata-Mata Digital
Selain SeedHunter, framework OkoBot memiliki lebih dari 20 modul yang dapat diunduh sesuai kebutuhan pelaku.
Salah satunya adalah OkoSpyware, yang memantau lebih dari 100 aplikasi berbeda, termasuk Exodus, 1Password, hingga browser yang sedang membuka ekstensi dompet kripto seperti MetaMask dan Tonkeeper.
Malware ini mampu:
- Merekam aktivitas layar menjadi video.
- Mencatat setiap penekanan tombol (keylogging).
- Memantau clipboard.
- Mendeteksi perangkat USB.
- Mengambil tangkapan layar secara berkala.
- Memasang ekstensi Chromium tersembunyi yang memiliki seluruh izin akses.
Peneliti juga menemukan bahwa malware memasang Rilide, malware pencuri data browser yang telah lama digunakan oleh kelompok pelaku berbahasa Rusia.
Belum Dapat Dikaitkan dengan Kelompok Tertentu
Hingga saat ini Kaspersky belum mengaitkan OkoBot dengan kelompok kejahatan siber tertentu.
Meski demikian, sejumlah indikator menunjukkan kemungkinan keterlibatan pelaku berbahasa Rusia, misalnya:
- Komentar dalam kode phising.
- Penggunaan malware Rilide.
- Server tahap awal yang sengaja tidak merespons koneksi dari alamat IP Rusia dan negara-negara CIS.
Namun, bukti tersebut masih dianggap sebagai indikasi awal dan belum cukup kuat untuk melakukan atribusi resmi.
Cara Melindungi Diri dari OkoBot
Karena serangan ini tidak mengeksploitasi kerentanan pada hardware wallet, pembaruan perangkat lunak saja tidak cukup untuk mengatasinya.
Beberapa langkah yang dapat dilakukan pengguna antara lain:
- Jangan pernah memasukkan recovery phrase kecuali benar-benar diminta melalui prosedur resmi perangkat.
- Selalu periksa layar perangkat Ledger atau Trezor. Jika perangkat tidak meminta proses pemulihan tetapi aplikasi desktop meminta recovery phrase, kemungkinan besar itu adalah upaya phising.
- Unduh aplikasi hanya dari situs resmi vendor.
- Hindari repositori GitHub atau tautan unduhan yang tidak dapat diverifikasi.
- Gunakan solusi keamanan endpoint yang mampu mendeteksi aktivitas injeksi kode, DLL sideloading, dan malware infostealer.
Mengenali Permintaan Tidak Wajar
OkoBot menunjukkan bahwa pelaku ancaman tidak selalu harus membobol keamanan hardware wallet untuk mencuri aset kripto.
Sebaliknya, mereka memanfaatkan kelemahan pada komputer pendamping dan rekayasa sosial untuk memperoleh recovery phrase, yang merupakan kunci utama untuk menguasai seluruh aset digital korban.
Kasus ini kembali mengingatkan bahwa keamanan aset kripto tidak hanya bergantung pada perangkat keras yang digunakan, tetapi juga pada kewaspadaan pengguna dalam mengenali permintaan yang tidak wajar dari aplikasi maupun situs yang mereka gunakan.
Sumber berita: