Novinky

OkoBot krade seed phrases z Ledgeru a Trezoru: modul SeedHunter útočí zevnitř legitimní aplikace

Novinky Date: Zobrazení: 3

OkoBot krade seed phrases z Ledgeru a Trezoru: modul SeedHunter útočí zevnitř legitimní aplikace

Kaspersky GReAT zveřejnil 15. července 2026 analýzu malwarového frameworku OkoBot, který od dubna 2025 operuje na zařízeních s Windows. OkoBot je modulární platforma s více než dvaceti typy payloadů a implantátů; Kaspersky zaznamenal stovky obětí ve více než 25 zemích. Nejvíce zasažené jsou Brazílie, Vietnam, Kanada, Mexiko a Turecko – v době zveřejnění byl framework stále aktivní.

Nejnebezpečnějším modulem pro uživatele hardwarových peněženek je SeedHunter, který cílí na tři specifické aplikace: Trezor Suite, Ledger Wallet a Ledger Live. Standardní phishingový web nebo falzifikát aplikace by uživatel mohl rozpoznat. SeedHunter volí jinou cestu: počká, až oběť spustí legitimní peněženkovou aplikaci, a pak do jejího rozhraní vloží vlastní stránku s výzvou k zadání recovery phrase (seed phrase). Okolní prostředí je reálná aplikace, ikona v taskbaru je správná, URL nebo jakýkoli jiný vnější indikátor nevaruje. V některých případech SeedHunter čeká, až uživatel fyzicky připojí hardwarové zařízení – okamžik, kdy opatrnost typicky klesá, protože uživatel s peněženkou aktivně pracuje.

Seed phrase je hlavní záloha celé kryptoměnové peněženky. Kdo ji zná, má přístup ke všem prostředkům na ní uložených bez ohledu na to, kde je fyzické zařízení nebo jaký PIN je nastavený. Kompromitace seed phrase je nezvratitelná bez přenosu všech prostředků na novou peněženku s novou frazí.

Technická analýza Kaspersky popisuje, jak OkoBot po infekci sleduje spouštění peněženkových aplikací a injektuje svůj overlay ve správný moment. Framework podporuje více komunikačních kanálů pro C2 (command and control), aby přežil případné blokování jednotlivých cest; konkrétní technické detaily injekce Kaspersky prozatím nezveřejnil.

Image

Uživatelé hardwarových peněženek by si měli zapamatovat jedno pravidlo: žádná softwarová peněženkova aplikace ani doprovazující software Trezoru nebo Ledgeru nikdy nevyzývá k zadání seed phrase na obrazovce počítače. Recovery phrase se zadává výhradně fyzicky na displeji samotného hardwarového zařízení. Jakákoli výzva k zadání seed phrase v softwaru na PC je útok, nezávisle na tom, jak přesvědčivě vypadá prostředí, ve kterém se zobrazí. Správné reakce jsou: nic nezadávat, aplikaci zavřít, spustit antivirový scan a v případě pochybností o kompromitaci prostředky přesunout na novou peněženku.

Další články