Skip to content

PROSPERITA IT NEWS

Connect with Us

Social menu is not set. You need to create menu and assign it to Social Menu on Menu Settings.

Tags

2FA anti bocor data anti maling antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super antivirus superb Antivirus Super Ringan anti virus super ringan Antivirus Tangguh Antivirus Terbaik Antivirus Top BacaPikirshare BacaPikriShare Cyber security Data Security Edukasi KOnsumen Edukasi Siber ESET ESET deteksi Ransomware ESET Indonesia ESET PArental Control GreyCortex Keamanan Komputer Malware News prosperita Parental Control phising Prosperita Ransomware Riset ESET Super Ringan tips Tips & Trik Trojan vimanamail

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks
  • Uncategorized
  • Home
  • Home
  • Teknologi
  • Manfaatkan Aplikasi Resmi Curi Recovery Phrase
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

4 min read
Manfaatkan Aplikasi Resmi Curi Recovery Phrase

Image credit: magnific

Manfaatkan Aplikasi Resmi Curi Recovery Phrase – Sebuah framework malware bernama OkoBot diketahui telah menyerang komputer berbasis Windows sejak April 2025.

Salah satu modulnya, yang diberi nama SeedHunter, dirancang secara khusus untuk mencuri recovery phrase (seed phrase) dari pengguna dompet kripto berbasis perangkat keras (hardware wallet), seperti Ledger dan Trezor.

Dari temuan ini diketahui bahwa ratusan korban telah teridentifikasi di lebih dari 25 negara, dengan jumlah terbanyak berasal dari Brasil, Vietnam, Kanada, Meksiko, dan Turki.

Menyalahgunakan Aplikasi Wallet Resmi

Berbeda dengan serangan yang menargetkan perangkat keras secara langsung, OkoBot memanfaatkan aplikasi desktop resmi yang digunakan untuk mengelola hardware wallet.

Setelah berhasil menginfeksi komputer korban, malware akan memantau keberadaan aplikasi seperti Ledger Live, Ledger Wallet, dan Trezor Suite.

Ketika salah satu aplikasi ditemukan, SeedHunter akan menyisipkan kode berbahaya ke dalam aplikasi tersebut dan memodifikasi antarmukanya.

Dalam beberapa kasus, malware bahkan menunggu hingga korban benar-benar menghubungkan perangkat Ledger atau Trezor ke komputer.

Setelah perangkat terdeteksi, aplikasi resmi tiba-tiba menampilkan halaman yang meminta pengguna memasukkan recovery phrase. Padahal, halaman tersebut sepenuhnya palsu.

Yang membuat serangan ini sangat berbahaya adalah aplikasi yang digunakan tetap merupakan aplikasi resmi yang sebelumnya telah diinstal oleh korban. Malware hanya menyisipkan halaman phising di dalam aplikasi tersebut sehingga tampak seolah-olah berasal dari vendor resmi.

Recovery Phrase Langsung Dikirim ke Server Penyerang

Setiap kata yang diketik korban pada halaman palsu akan direkam oleh SeedHunter, kemudian dikemas dalam format JSON sebelum dikirim ke server Command-and-Control (C2) milik pelaku.

Perlu dipahami bahwa hardware wallet tidak diretas dalam serangan ini.

Ledger maupun Trezor tetap menjalankan fungsi keamanannya dengan baik dan tidak pernah mengirimkan private key keluar dari perangkat. Yang diserang adalah komputer pendamping yang menjalankan aplikasi wallet.

Dengan kata lain, keamanan perangkat keras menjadi tidak berarti apabila pengguna secara sukarela memberikan recovery phrase kepada halaman phising yang muncul di aplikasi.

Baca juga: Ancaman Ganda Oracle Peretas Curi Data Lewat Celah Kritis

Distribusi Malware Melalui GitHub dan ClickFix

Kaspersky menemukan dua metode utama yang digunakan pelaku untuk menyebarkan OkoBot.

Metode pertama adalah melalui teknik ClickFix, yaitu rekayasa sosial yang membujuk korban menjalankan perintah tertentu di komputer mereka.

Metode kedua memanfaatkan repositori GitHub palsu yang menawarkan perangkat lunak populer. Salah satu contoh yang ditemukan menyamar sebagai Microsoft SQL Server Management Studio (SSMS).

Alih-alih menginstal SSMS, korban justru memperoleh versi Audacity yang telah dimodifikasi dan disisipi malware pada salah satu pustaka (library)-nya.

Repositori tersebut bahkan sempat muncul pada peringkat teratas hasil pencarian GitHub selama beberapa bulan sebelum akhirnya dihapus.

Infeksi Berlanjut Melalui TookPS

Setelah malware dijalankan, komponen bernama TookPS akan diaktifkan.

TookPS merupakan pengunduh (downloader) berbasis PowerShell yang sebelumnya juga ditemukan pada kampanye situs palsu bertema DeepSeek dan berbagai perangkat lunak bisnis.

Komponen ini memasang layanan SSH pada komputer korban, membuka jalur komunikasi terenkripsi menuju server pelaku, lalu menunggu instruksi lanjutan.

Selanjutnya, pelaku melakukan inventarisasi sistem, termasuk perangkat lunak antivirus yang digunakan, sebelum mencuri berbagai data penting seperti:

  • File dompet kripto.
  • Cookie browser.
  • Kredensial pengguna.
  • Profil browser.
  • Informasi sistem.

Selain itu, malware juga memodifikasi konfigurasi Windows agar pelaku dapat mengakses komputer korban dari jarak jauh melalui Remote Desktop Protocol (RDP).

Dilengkapi Modul Mata-Mata Digital

Selain SeedHunter, framework OkoBot memiliki lebih dari 20 modul yang dapat diunduh sesuai kebutuhan pelaku.

Salah satunya adalah OkoSpyware, yang memantau lebih dari 100 aplikasi berbeda, termasuk Exodus, 1Password, hingga browser yang sedang membuka ekstensi dompet kripto seperti MetaMask dan Tonkeeper.

Malware ini mampu:

  • Merekam aktivitas layar menjadi video.
  • Mencatat setiap penekanan tombol (keylogging).
  • Memantau clipboard.
  • Mendeteksi perangkat USB.
  • Mengambil tangkapan layar secara berkala.
  • Memasang ekstensi Chromium tersembunyi yang memiliki seluruh izin akses.

Peneliti juga menemukan bahwa malware memasang Rilide, malware pencuri data browser yang telah lama digunakan oleh kelompok pelaku berbahasa Rusia.

Baca juga: Kerentanan Tunggal Menjadi Operasi Multi Vektor

Belum Dapat Dikaitkan dengan Kelompok Tertentu

Hingga saat ini Kaspersky belum mengaitkan OkoBot dengan kelompok kejahatan siber tertentu.

Meski demikian, sejumlah indikator menunjukkan kemungkinan keterlibatan pelaku berbahasa Rusia, misalnya:

  • Komentar dalam kode phising.
  • Penggunaan malware Rilide.
  • Server tahap awal yang sengaja tidak merespons koneksi dari alamat IP Rusia dan negara-negara CIS.

Namun, bukti tersebut masih dianggap sebagai indikasi awal dan belum cukup kuat untuk melakukan atribusi resmi.

Cara Melindungi Diri dari OkoBot

Karena serangan ini tidak mengeksploitasi kerentanan pada hardware wallet, pembaruan perangkat lunak saja tidak cukup untuk mengatasinya.

Beberapa langkah yang dapat dilakukan pengguna antara lain:

  1. Jangan pernah memasukkan recovery phrase kecuali benar-benar diminta melalui prosedur resmi perangkat.
  2. Selalu periksa layar perangkat Ledger atau Trezor. Jika perangkat tidak meminta proses pemulihan tetapi aplikasi desktop meminta recovery phrase, kemungkinan besar itu adalah upaya phising.
  3. Unduh aplikasi hanya dari situs resmi vendor.
  4. Hindari repositori GitHub atau tautan unduhan yang tidak dapat diverifikasi.
  5. Gunakan solusi keamanan endpoint yang mampu mendeteksi aktivitas injeksi kode, DLL sideloading, dan malware infostealer.

Mengenali Permintaan Tidak Wajar

OkoBot menunjukkan bahwa pelaku ancaman tidak selalu harus membobol keamanan hardware wallet untuk mencuri aset kripto.

Sebaliknya, mereka memanfaatkan kelemahan pada komputer pendamping dan rekayasa sosial untuk memperoleh recovery phrase, yang merupakan kunci utama untuk menguasai seluruh aset digital korban.

Kasus ini kembali mengingatkan bahwa keamanan aset kripto tidak hanya bergantung pada perangkat keras yang digunakan, tetapi juga pada kewaspadaan pengguna dalam mengenali permintaan yang tidak wajar dari aplikasi maupun situs yang mereka gunakan.

 

 

 

 

Baca artikel lainnya: 

  • Ancaman Terkuat 2025 AI Generating Phising
  • Risiko Akhir Windows 10
  • Spyware Android Baru Menyamar Jadi WhatsApp dan TikTok
  • Taktik Canggih Peretas Mencuri Data Rahasia Lewat Asisten Coding AI
  • Varian Baru Chaos Enkripsi Selektif & Penghancuran Data
  • Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru
  • Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan
  • Hidden Text Salting
  • Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email
  • Keamanan Siber Bukan Sekadar Biaya

 

 

 

Sumber berita:

 

WeLiveSecurity

 

 

Post navigation

Previous 11 Bootloader Lama Ancam Keamanan UEFI
Next Spionase Siber Berkedok Lowongan Kerja

artikel terkini

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
Waspada Thread Hijacking Waspada Threa

Waspada Thread Hijacking

July 16, 2026
RedHook Manfaatkan Wireless ADB Infeksi Android RedHook Manfaatkan Wireless ADB Infeksi Android

RedHook Manfaatkan Wireless ADB Infeksi Android

July 15, 2026
Malware Baru yang Mengincar Pengguna macOS Malware Baru yang Mengincar Pengguna macOS

Malware Baru yang Mengincar Pengguna macOS

July 15, 2026
Alasan BEC Sangat Berbahaya Alasan BEC Sangat Berbahaya

Alasan BEC Sangat Berbahaya

July 15, 2026

Lainnya

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja
5 min read
  • Sektor Bisnis
  • Sektor Personal

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase
4 min read
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI
4 min read
  • Sektor Bisnis
  • Sektor Personal

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data
3 min read
  • Sektor Bisnis
  • Sektor Personal

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
PROSPERITA IT News | DarkNews by AF themes.