OkoBot-Malware: Angreifer stehlen Krypto-ZugÀnge aus Hardware-Wallets
Veröffentlicht: 15.07.2026 um 22:11 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben eine hochentwickelte Malware namens OkoBot entdeckt, die gezielt Nutzer von KryptowÀhrungs-Hardware-Wallets angreift. Die mehrstufige Bedrohung ist seit mindestens Anfang 2026 aktiv und setzt auf eine Kombination aus Social Engineering und technischen Injektionsmethoden, um sensible Wiederherstellungsinformationen zu stehlen.
Infektionskette in mehreren Stufen
Das OkoBot-Framework nutzt ein komplexes Verteilungssystem, das hĂ€ufig mit Social-Engineering-Taktiken beginnt â bekannt als ClickFix. Wie aus Mitteilungen von Mitte Juli hervorgeht, setzen die Angreifer zudem auf gefĂ€lschte GitHub-Repositories, die legitime Software wie den SQL Server Management Studio (SSMS) imitieren.
Wird ein Nutzer zum Download der schĂ€dlichen Dateien verleitet, durchlĂ€uft die Infektion mehrere Phasen. Ein Downloader namens TookPS, der seit dem FrĂŒhjahr 2025 in verschiedenen Varianten beobachtet wird, dient als erster Einstiegspunkt. Dieser Downloader etabliert SSH-Tunnel, um die Kommunikation mit Command-and-Control-Servern aufrechtzuerhalten. Das Framework setzt anschlieĂend einen Launcher namens HDUtil ein, um weitere Komponenten auszufĂŒhren â darunter Browser-Erweiterungs-Loader und Ăberwachungsmodule.
SeedHunter: Die Jagd nach Wiederherstellungsphrasen
Das Hauptziel der OkoBot-Kampagne ist der Diebstahl von Seed-Phrasen fĂŒr KryptowĂ€hrungen. Dies gelingt durch ein spezialisiertes Modul namens SeedHunter. Anders als herkömmliches Phishing, das auf gefĂ€lschte Websites setzt, ĂŒberwacht SeedHunter aktiv das infizierte System auf das Vorhandensein legitimer Hardware-Wallet-Anwendungen â konkret Ledger Live, Ledger Wallet und Trezor Suite.
Sobald diese Anwendungen erkannt werden, injiziert die Malware gefĂ€lschte Wiederherstellungsseiten direkt in die OberflĂ€che der legitimen Software. Die Nutzer werden aufgefordert, ihre Seed-Phrasen unter dem Vorwand eines Sicherheitsupdates oder eines GerĂ€te-Wiederherstellungsprozesses einzugeben. Die gestohlenen Zugangsdaten werden anschlieĂend an eine von Forschern als moonsand[.]store identifizierte Remote-Domain ĂŒbertragen.
Der Fall OkoBot zeigt eindrucksvoll, dass selbst Hardware-Wallets durch manipulierte SoftwareoberflĂ€chen angreifbar sind, sobald das zugrunde liegende System infiziert ist. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache MaĂnahmen, mit denen Sie Ihr Android-GerĂ€t effektiv vor Hackern und Schadsoftware schĂŒtzen. 5 SchutzmaĂnahmen jetzt entdecken
Neben SeedHunter kann das Framework mehr als 20 verschiedene Schadprogramme ausfĂŒhren. Dazu gehören OkoSpyware, das Keylogging- und Videoaufzeichnungsfunktionen bietet, sowie der Rilide-Stealer und MC Keylogger. Dieses Arsenal ermöglicht es den Angreifern, dauerhaften Zugriff aufrechtzuerhalten und die AktivitĂ€ten der Opfer weit ĂŒber Kryptotransaktionen hinaus zu ĂŒberwachen.
Weltweite Verbreitung und TĂ€ter im Visier
Die Analyse der Kampagne zeigt eine breite geografische Streuung: Hunderte Opfer wurden in mehr als 25 LĂ€ndern identifiziert. Die höchste Konzentration betroffener Nutzer findet sich in Brasilien, Vietnam, Kanada, Mexiko und der TĂŒrkei.
Hinweise im Code und in der Infrastruktur der Malware deuten darauf hin, dass die Betreiber wahrscheinlich russischsprachig sind. Technische Artefakte und sprachliche Marker, die wÀhrend der Untersuchung entdeckt wurden, weisen auf eine finanziell motivierte Bedrohungsgruppe aus dieser Region hin.
Da Cyberkriminelle ihre Methoden stÀndig verfeinern, reichen klassische Passwörter oft nicht mehr aus, um Online-Konten vor unbefugtem Zugriff zu bewahren. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Sicherheit bei Diensten wie WhatsApp oder Amazon massiv erhöhen. Kostenlosen Passkey-Ratgeber herunterladen
Die Entdeckung von OkoBot fĂ€llt in einen breiteren Trend hochentwickelter Angriffe auf das Krypto-Ăkosystem. WĂ€hrend einige Akteure in letzter Zeit KI-Werkzeuge zur Steuerung von Botnetzen und zur BetrugsbekĂ€mpfung einsetzen, zeichnet sich das OkoBot-Framework durch seinen spezifischen technischen Fokus aus: die Umgehung der Sicherheitsmechanismen von Hardware-Wallet-OberflĂ€chen. Forscher betonen, dass das Framework Stand Juli 2026 weiterhin aktiv ist und ein anhaltendes Risiko fĂŒr Besitzer digitaler Vermögenswerte weltweit darstellt.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
