暗号資産投資家のウォレットファイルやアカウント情報を狙う新たなマルウェアフレームワーク「Okobot」が確認された。Cointelegraphが7月18日(現地時間)に報じた。サイバーセキュリティ企業のKasperskyによると、Okobotはソーシャルエンジニアリングと、正規アプリを装ったGitHubアプリを通じて拡散するという。
Kasperskyによれば、Okobotは感染初期の段階で「ClickFix」などの手口を使い、利用者自身に不正なコマンドを実行させる。あわせて、正規プログラムを装ったGitHubアプリを通じてバックドアを導入する手法も用いる。Kasperskyは、この系統のマルウェアが2026年1月以降、複数の攻撃で使われた事例を確認したとしている。
Okobotは、暗号資産ウォレットのファイルやブラウザデータ、ユーザー認証情報を収集する機能を持つ。悪意ある拡張機能を挿入したり、ウォレットアプリの画面キャプチャを通じて資産の窃取を試みたりする機能も備える。
攻撃者の狙いは、端末にリモートアクセス型トロイの木馬を送り込み、感染させることにある。感染後は、プロジェクトキーやクラウド認証情報、ウォレット拡張機能のデータなどを窃取できるという。
Kasperskyは、Okobotについて、2025年に初めて確認されたマルウェアキャンペーン「TuKPS」の発展系に当たると説明した。TuKPSは当時、偽のソフトウェアサイトを通じてトロイの木馬型ダウンローダーを配布していた。
著者について