🛡️ Executive Summary
- OKOBot avvia l’infezione con TookPS, installa SSH, crea tunnel inversi e mantiene accesso remoto persistente attraverso RDP e attività pianificate.
- Rilide e SeedHunter colpiscono browser Chromium, Trezor Suite e Ledger Live per sottrarre cookie, credenziali finanziarie e frasi seme.
- I sistemi coinvolti devono essere isolati, bonificati e sottoposti a rotazione completa di password, sessioni, wallet e credenziali amministrative.
OKOBot è un framework malware modulare progettato per compromettere sistemi Windows e sottrarre credenziali, cookie, file di wallet e seed phrase utilizzate da applicazioni come Trezor Suite, Ledger Wallet e Ledger Live. La catena parte da TookPS, uno script PowerShell che installa componenti SSH, crea un tunnel inverso verso l’infrastruttura degli attaccanti e prepara il caricamento di oltre venti moduli. Il framework combina accesso remoto, bypass UAC, estensioni browser nascoste, iniezione nei processi e plugin specializzati nel furto di criptovalute. La campagna utilizza ClickFix e falsi repository GitHub per distribuire il primo stadio.
Cosa leggere
TookPS installa SSH e apre un accesso remoto persistente
TookPS agisce come downloader e orchestratore iniziale. Lo script recupera istruzioni da server controllati dagli attaccanti, installa il servizio SSH sul sistema compromesso e stabilisce una connessione inversa che espone il demone locale attraverso una porta inoltrata. Dopo un intervallo prestabilito, un bot automatizzato si collega al tunnel e raccoglie nome utente, versione di Windows, indirizzo IP, antivirus installati, cookie, profili browser e file associati ai wallet. L’uso di SSH permette di confondere parte del traffico con attività amministrative legittime e offre un canale stabile per trasferire payload tramite SFTP. Il bot modifica inoltre il registro per sopprimere le notifiche di Windows Defender, abilita il traffico RDP in ingresso e aggiunge un account al gruppo Remote Desktop Users. La sostituzione di termsrv.dll con una versione modificata abilita sessioni RDP simultanee, mentre l’attività pianificata Apple Sync ricrea ogni ora il tunnel verso il server criminale. La combinazione garantisce accesso grafico e shell persistente anche dopo il riavvio. Il vettore iniziale richiama le campagne ClickFix che usano falsi CAPTCHA e PowerShell per installare malware e la successiva industrializzazione di ClickFix attraverso repository e workflow costruiti per apparire legittimi.
HDUtil esegue payload elevati attraverso un bypass UAC
Il modulo HDUtil è un launcher protetto con VMProtect e utilizzato per distribuire componenti aggiuntivi con privilegi elevati. Prima dell’esecuzione verifica un identificativo hardware memorizzato localmente e confrontato con un hash MD5, impedendo l’avvio fuori dall’ambiente previsto dagli operatori. Il comando target lancia file e consente di specificare utente, modalità in background e bypass UAC. L’opzione nouac sfrutta RPC di Windows e l’auto-elevazione di msconfig.exe, tecnica che permette di ottenere privilegi amministrativi senza mostrare la normale finestra di consenso.

HDUtil integra anche funzioni per copiare file ed enumerare adattatori grafici, offrendo agli attaccanti un controllo granulare sul deployment. Questa fase consente di installare estensioni, modificare componenti di sistema e iniettare codice nei processi del browser. La presenza del bypass UAC aumenta il rischio perché un’infezione iniziata nel contesto di un utente ordinario può diventare rapidamente una compromissione completa della workstation.
Rilide si nasconde nei browser Chromium e intercetta dati finanziari
Il modulo extl.exe esegue l’iniezione nelle applicazioni basate su Chromium. Il malware enumera continuamente finestre e processi, individua browser compatibili e inserisce al loro interno un impianto non cifrato. Le funzioni di caricamento vengono risolte tramite hash modificati e il payload ricostruisce import, eccezioni e base address prima di avviarsi.

Il componente intercetta le routine interne di Edge e Chrome, analizza le directory del profilo alla ricerca di pacchetti CRX e registra estensioni malevole direttamente nelle strutture utilizzate dal browser. Il manifest viene alterato per includere l’HWID della vittima e informazioni sul browser, mentre patch specifiche nascondono l’estensione dagli elenchi visibili e sopprimono notifiche o avvisi. Tra gli impianti distribuiti compare Rilide, stealer noto per il furto di cookie, credenziali, dati di autenticazione e informazioni finanziarie. L’utente può quindi continuare a usare il browser senza vedere l’estensione installata. La tecnica si colloca nello stesso scenario di Torg Grabber, malware capace di colpire centinaia di estensioni browser e della compromissione di Trust Wallet attraverso un’estensione Chrome modificata.
Volume2 trasforma OKOBot in un framework a plugin

La versione più recente utilizza Volume2.exe come contenitore apparentemente innocuo per una DLL protobuf modificata. La funzione esportata ProtobufGetVer2 decifra un impianto protetto con AES-GCM e chiave statica, quindi avvia il dispatcher. Dalla primavera 2026 la DLL viene distribuita con il nome version.dll, ma mantiene la stessa logica. Il dispatcher verifica l’HWID, comunica con il C2 tramite HTTP e invia ogni venti secondi richieste contenenti BotID e strutture JSON cifrate con AES-CBC. Le risposte contengono indice del task, identificativo e parametri operativi. Il task 1 aggiorna configurazione e chiavi, il task 2 carica DLL direttamente in memoria, il task 3 registra nuovi plugin e il task 4 riavvia il dispatcher. Gli altri comandi vengono inoltrati ai moduli caricati attraverso le funzioni RegisterPlugin e PluginDispatch, risolte tramite MurmurHash3. I plugin osservati comprendono wrapper CMD e PowerShell, enumerazione dell’ambiente, downloader, iniettore di processi e moduli per il furto di dati. Questa struttura consente agli operatori di aggiungere o sostituire capacità senza reinstallare l’intera catena e riduce l’esposizione dei payload non necessari su ogni sistema.
SeedHunter monitora Trezor Suite e Ledger Live
Il componente più mirato è SeedHunter, progettato per intercettare dati direttamente nelle applicazioni dedicate ai wallet. Il plugin controlla i processi attivi e si inietta quando rileva Trezor Suite, Ledger Wallet o Ledger Live. L’impianto riconosce applicazioni basate su Electron e aggancia funzioni interne per acquisire contenuti visualizzati o elaborati durante l’utilizzo del wallet. In questo modo gli attaccanti non si limitano a cercare file sul disco, ma tentano di catturare le seed phrase mentre vengono mostrate, inserite o gestite dall’applicazione. Il targeting selettivo riduce l’attività superflua e può limitare gli indicatori visibili finché il wallet non viene aperto. Il furto della seed phrase è particolarmente grave perché consente di ricostruire il portafoglio su un altro dispositivo, aggirando PIN, autenticazione locale e protezioni fisiche dell’hardware wallet. Le campagne contro questo tipo di credenziale hanno già prodotto perdite rilevanti, come dimostrano la falsa app Ledger Live che avrebbe sottratto decine di milioni di euro e il trojan FakeWallet capace di rubare le frasi seme su iOS.
ClickFix e falsi repository GitHub distribuiscono il framework
OKOBot utilizza almeno due canali di distribuzione. Il primo sfrutta ClickFix, tecnica di ingegneria sociale che convince l’utente a copiare ed eseguire comandi PowerShell presentati come soluzioni a CAPTCHA, errori o problemi di sistema. Il secondo utilizza repository GitHub costruiti per imitare software legittimo e ottenere visibilità attraverso risultati di ricerca o SEO poisoning. In un caso, un falso pacchetto di SQL Server Management Studio conteneva una documentazione simile a quella Microsoft e un link verso una release apparentemente autentica. L’archivio includeva Audacity legittimo affiancato da una libreria malevola, tecnica che aumenta la credibilità del pacchetto e favorisce il sideloading. Questo schema era già stato osservato con BoryptGrab, stealer distribuito tramite repository GitHub falsi e orientato al furto di wallet. Entrambi i vettori terminano con l’esecuzione di TookPS e con l’installazione dell’infrastruttura SSH.
La bonifica richiede più della semplice rimozione del malware
Un sistema compromesso da OKOBot deve essere isolato dalla rete e sottoposto a verifica completa di utenti locali, attività pianificate, servizi SSH, regole firewall, file termsrv.dll, estensioni browser e persistenze RDP. La rimozione dei singoli eseguibili non è sufficiente perché gli operatori possono avere creato account, copiato credenziali e mantenuto sessioni remote già valide. Le password devono essere cambiate da un dispositivo pulito, insieme alla revoca dei cookie, dei token cloud, delle sessioni browser e delle chiavi SSH. Per i wallet coinvolti, la seed phrase deve essere considerata compromessa: i fondi devono essere trasferiti verso un nuovo wallet generato su un dispositivo affidabile, evitando di riutilizzare la frase precedente. Le aziende devono inoltre bloccare PowerShell non autorizzato, monitorare tunnel SSH inversi, impedire modifiche a Defender e controllare la sostituzione dei file di sistema. OKOBot dimostra che il furto crypto moderno non dipende da un singolo stealer, ma da un framework capace di combinare accesso remoto, browser injection e sorveglianza mirata delle applicazioni finanziarie.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









