Zum Hauptinhalt springen

OkoBot-Malware zielt mit mehr als 20 Modulen auf Krypto-Wallets

15. Juli 2026

Techniken und genutzter Infostealer werden mit russischsprachigen Bedrohungsakteuren in Verbindung gebracht

  • Nutzer in über 25 Ländern betroffen – auch in Deutschland
  • OkoSpyware zeichnet Tastatureingaben und den Videostream von Anwendungsfenstern auf

Die Experten des Global Research and Analysis Teams (GReAT) von Kaspersky haben mit OkoBot ein neues, fortschrittliches Malware-Framework identifiziert, das Inhalte aus den Anwendungsfenstern von Kryptowährungs-Wallets erfassen kann [1].OkoBot umfasst mehr als 20 schädliche Payloads und Implantate, darunter Module zum Diebstahl von Seed-Phrasen und Zugangsdaten, zur Ausführung von Remote-Befehlen sowie zur Überwachung Chromium-basierter Browser. Verbreitet wird die Malware vor allem über ClickFix-Angriffe und über GitHub, wo sie als legitime Software getarnt angeboten wird. Den beobachteten Infektionswegen zufolge gehören insbesondere Entwickler und Kryptowährungsnutzer zu den Hauptzielen – auch in Deutschland. Der Bedrohungsakteur ist bisher nicht bekannt, wird aber als vermutlich russischsprachig eingeordnet.

Im Januar 2026 identifizierten GReAT-Experten von Kaspersky mehrere Angriffe mit einer zuvor unbekannten Malware, die Inhalte aus den Anwendungsfenstern von Kryptowährungs-Wallets erfassen kann. Das fortschrittliche Malware-Framework Okobot umfasst mehr als 20 schädliche Payloads und Implantate. Zu den Fähigkeiten der einzelnen Module gehören:

  • lokale Dateien sammeln,
  • Remote-Befehle ausführen,
  • beliebige Browser-Erweiterungen herunterladen,
  • Kryptowährungs-Wallets stehlen,
  • Seed-Phrasen und Zugangsdaten erfassen,
  • Videoaufnahmen erstellen.

Das Framework nutzt TookPS zur Exfiltration von Seed-Phrasen und kann verschiedene Malware-Familien ausliefern, darunter den Rilide Stealer.

Eines der neueren eingesetzten Implantate ist ein Loader, der den Arbeitsspeicher des Browsers manipuliert, um schädliche Erweiterungen zu laden und zu verbergen. Darüber hinaus enthält OkoBot ein neues OkoSpyware-Modul, das Chromium-basierte Browser überwacht sowie Tastatureingaben und den Videostream eines ausgewählten Anwendungsfensters aufzeichnet.

Hinweise auf Verbindung zu russischsprachigen Bedrohungsakteuren

Auf Grundlage der derzeit verfügbaren Informationen lässt sich die Kampagne derzeit keinem bekannten Bedrohungsakteur mit hoher Wahrscheinlichkeit zuordnen. Die eingesetzten Techniken und der genutzte Infostealer werden jedoch häufig mit russischsprachigen Bedrohungsakteuren in Verbindung gebracht; zudem identifizierte die technische Analyse russischsprachige Code-Artefakte.

Die Erstinfektion erfolgt typischerweise über zwei Hauptvektoren: über ClickFix-Angriffe, bei denen Bedrohungsakteure Nutzer mithilfe von Social Engineering dazu verleiten, schädlichen Code auszuführen, oder über Malware, die unter dem Deckmantel legitimer Software auf GitHub verbreitet wird. Während der Analyse identifizierten die Kaspersky-Experten unter anderem einen gefälschten Installer für SQL Server Management Studio (SSMS), ein häufig eingesetztes Datenbankmanagement-Tool von Microsoft.

Das schädliche Framework enthält zudem SeedHunter, eine Malware-Komponente, die aktive Systemprozesse überwacht. Diese schleust ein Implantat in Trezor Suite, Ledger Wallet und Ledger Live ein, offizielle Anwendungen zur Verwaltung von Krypto-Assets. Sobald SeedHunter ein verbundenes Hardware-Wallet von Trezor oder Ledger erkennt, aktiviert die Malware die manipulierten Funktionsaufrufe und zeigt eine fest im Code hinterlegte Phishing-Seite an. Diese soll die Seed-Phrase des Nutzers stehlen und verwendet für jeden Wallet-Typ ein eigenes Layout.

Okobot hat Nutzer weltweit im Visier, darunter in Deutschland, Brasilien, Vietnam, Kanada, Mexiko und in der Türkei.

„Die OkoBot-Kampagne ist seit mehr als einem Jahr und auch aktuell noch aktiv“, kommentiert Dmitry Galov, Head of Russia and CIS im Global Research and Analysis Team (GReAT) von Kaspersky. „Die beobachteten Infektionswege deuten stark darauf hin, dass Entwickler zu den Hauptzielen gehören. Besonders besorgniserregend ist die kontinuierliche Weiterentwicklung der Malware, die zeigt, dass das Framework aktiv gepflegt wird. Da die Verbreitungsbemühungen anhalten, besteht die Gefahr, dass die Kampagne in naher Zukunft weitere Nutzer erreicht und auf weitere Länder ausgeweitet wird.“

Kaspersky-Empfehlungen zum Schutz von Krypto-Wallets

  • Keine Anweisungen aus ungeprüften Quellen befolgen, die direkt oder über Anleitungen dazu auffordern, unbekannten Code auf einem Gerät auszuführen oder zu installieren. Cyberkriminelle nutzen diese Methode häufig, um Systeme zu infizieren, was zum Verlust sensibler Daten oder sogar der Kontrolle über das Gerät führen kann.
  • Antiviren- und andere Sicherheitsfunktionen nicht deaktivieren, um Software zu installieren. Besondere Vorsicht ist beim Herunterladen von Spiele-Modifikationen, Cheats oder Dienstprogrammen von Drittanbietern geboten.
  • Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten.
  • Starke und einzigartige Passwörter verwenden und, wo immer möglich, die Multi-Faktor-Authentifizierung aktivieren.
  • Alle Computer und Mobilgeräte mit einer zuverlässigen Sicherheitslösung wie beispielsweise Kaspersky Premium [2] schützen, die vor schädlichen Aktivitäten warnt und Infektionsversuche blockiert.
  • Sensible Daten sicher verwalten; Passwörter oder Wiederherstellungsphrasen weder in Fotogalerien noch in Notizen speichern. Stattdessen einen vertrauenswürdigen Passwort-Manager wie Kaspersky Password Manager [3] verwenden.

Der vollständige Bericht ist auf Securelist verfügbar unter https://securelist.com/okobot-framework-targets-cryptocurrency-wallets/120660/

 

[1] https://securelist.com/okobot-framework-targets-cryptocurrency-wallets/120660/

[2] https://kas.pr/re3t

[3] https://www.kaspersky.de/password-manager


Nützliche Links:



OkoBot-Malware zielt mit mehr als 20 Modulen auf Krypto-Wallets

Techniken und genutzter Infostealer werden mit russischsprachigen Bedrohungsakteuren in Verbindung gebracht
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Kaspersky revolutioniert die Branche mit seinem Sicherheitsansatz auf Basis des Prinzips der Cyberimmunität und schützt Verbraucher, Unternehmen, kritische Infrastrukturen und Behörden vor Cyberbedrohungen, mit bis heute über einer Milliarde geschützter Geräte.

Kaspersky sorgt für Cybersecurity True to Business und konzentriert sich auf die Bereitstellung klarer Ergebnisse, den Schutz des Umsatzes, Reduzierung der Arbeitsbelastung und Vermeidung von Ausfallzeiten. Kasperskys umfassendes Know-how im Bereich Threat Intelligence und Sicherheit fließt ständig in innovative Lösungen und Dienste für Unternehmen jeder Größe ein, von kleinen bis hin zu Großunternehmen, die bewährte KI-gesteuerte Schutztechnologien mit einfacher Verwaltung und fachkundigem Support kombinieren.

Kaspersky wurde in unabhängigen Tests ausgezeichnet und wird von Millionen von Menschen weltweit sowie fast 200.000 Unternehmen als vertrauenswürdig eingestuft. Kaspersky hilft dabei, Bedrohungen früher zu erkennen, schneller zu reagieren und mit größerer Sicherheit und Freiheit zu arbeiten, und schützt so, was für unsere Kunden am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen