OkoBot Zararlısı 20 Modülle Bitcoin (BTC) Cüzdanlarının Kurtarma İfadelerini Çalıyor
BTC/USDT
$5,173,857,292.76
$64,669.50 / $63,884.35
Fark: $785.15 (1.23%)
+0.0018%
Long öder
AI ÖzetiAI
- Kaspersky, yaklaşık 20 modülden oluşan ve kripto cüzdan kurtarma ifadelerini çalan OkoBot zararlı yazılım çerçevesini ortaya çıkardı.
- OkoBot şimdiden Brezilya, Vietnam, Kanada, Meksika ve Türkiye olmak üzere en az beş ülkede kullanıcıları hedef aldı.
- SeedHunter modülü Ledger ve Trezor’u taklit ederek girilen 12 veya 24 kelimelik kurtarma ifadelerini doğrudan saldırganlara aktarıyor.
- Korku ve Açgözlülük Endeksi 25, Bitcoin baskınlığı yüzde 69,9 ve toplam piyasa değeri yaklaşık 1,85 trilyon dolar seviyesinde.
Bu özet yapay zekâ destekli üretildi, AI ile incelendi ve COINOTAG editöryal gözetiminde yayımlandı.
Kripto Haberleri
Siber güvenlik firması Kaspersky, kripto para cüzdanlarının kurtarma ifadelerini (recovery phrase) çalmak için tasarlanan OkoBot adlı zararlı yazılım çerçevesini deşifre etti. İncelediğimiz teknik açıklamaya göre yaklaşık 20 ayrı modülden kurulu ve yaklaşık bir yıldır faaliyette olan bu operasyon, şimdiden en az beş ülkede — Brezilya, Vietnam, Kanada, Meksika ve Türkiye — kullanıcıları ele geçirmiş durumda; buna karşın operatörler Rusya ve diğer Bağımsız Devletler Topluluğu (BDT) ülkelerine ait IP adreslerini bilinçli olarak engellemiş. Modüler tasarım, saldırganların tek bir virüslü makineden cüzdan dosyalarını, tarayıcı verilerini ve oturum açma bilgilerini bir arada toplamasına olanak veriyor. Seed phrase bir cüzdanın tüm kontrolünü açtığından mağdurları neredeyse eksiksiz bir kayıp bekliyor: blok zinciri transferleri geri alınamaz olduğu için çalınan fonların iadesi pratikte imkânsız.
Bulaşma zinciri bir yazılım açığıyla değil, doğrudan sosyal mühendislikle başlıyor. OkoBot, meşru araç kılığına sokulmuş GitHub depoları üzerinden — sahte bir Microsoft SQL Server Management Studio sürümü de dahil — dağıtılıyor. Kaspersky belgelerinde, ClickFix tekniğinin yoğun biçimde kullanıldığı görülüyor; bu yöntem sahte hata mesajları, doğrulama istemleri veya onarım talimatları göstererek kurbanı kendi terminaline zararlı komutları elleriyle yapıştırmaya ikna ediyor. Bu adımların izlenmesi, arka kapıyı sessizce sisteme kuruyor. Yükü bir istismar kodu değil bizzat kullanıcı çalıştırdığı için yöntem klasik savunmaları aşıyor — bu da Bitcoin ve diğer altcoin sahiplerine yönelik giderek yaygınlaşan bir örüntü.
Hırsızlığın kalbinde ise Ledger ve Trezor gibi donanım cüzdanlarını taklit eden sahte bir kurtarma arayüzü çizen SeedHunter modülü yer alıyor. Kullanıcı 12 veya 24 kelimelik kurtarma ifadesini bu sahte ekrana girdiği anda veriler doğrudan operatörlere aktarılıyor; saldırganlar da cüzdanı yeniden oluşturup boşaltabiliyor. Taktik, tam olarak donanım cüzdanlarının çevrimdışı tutmak için tasarlandığı o tek sırrı hedef alıyor. Kendi varlıklarını saklama esasına dayanan bir kripto cüzdanı kullanan herkes için ders açık: gerçek bir cihaz sizden seed phrase’i asla bir masaüstü penceresine yeniden yazmanızı istemez.
İki ek modül gözetimi daha da genişletiyor. MC Keylogger tuş vuruşlarını kaydedip pano hareketlerini izleyerek parolaları ve kopyalanan cüzdan adreslerini gerçek zamanlı yakalarken, OkoSpyware cüzdan parolalarını takip ediyor ve hatta kurbanın etkinliğini gözlemlemek için açık pencerelerin video kaydını alıyor. İkisi birlikte, birçok yatırımcının güvenli sandığı kopyala-yapıştır alışkanlığını etkisiz kılıyor; borsa hesaplarının veya aynı cihazda çalışan otomatik bir yapay zeka ticaret botu kimlik bilgilerini sessizce ele geçirebiliyor. Çerçevenin tek bir bilgisayardan farklı veri türlerini çekebilmesi, dikkatsiz tek bir kurulumun yalnızca bir cüzdanı değil tüm portföyü açığa çıkarabileceği anlamına geliyor.
OkoBot yoktan var olmadı. Kaspersky, zararlıyı sahte yazılım siteleri üzerinden bir Truva atı indiricisi yayan 2025 tarihli TookPS kampanyasına dayandırdı ve yeni aileye bağlı çok sayıda saldırının Ocak 2026’dan bu yana gerçekleştiğini doğruladı. Bu kuşağı ayıran esas unsur ise altyapısı: 20 yükün tamamı tek bir SSH tüneli üzerinden yönetiliyor. Şifreli bir kanal olan bu tünel, çalınan verileri virüslü bilgisayarlardan saldırgan makinelerine taşırken normal ağ trafiğinin içine gizleniyor. Araştırmacılar, çerçevenin modüler ve yeniden kullanılabilir yapısının taklitçiler için eşiği düşürdüğü, dolayısıyla seed phrase’i hedefleyen türev kitlerin özgün operatörlerin çok ötesinde çoğalabileceği uyarısını yapıyor.
Kampanya, kriptoyu inşa eden insanlara yönelik daha geniş bir dalganın parçası. Ayrı bir vakada blok zinciri güvenlik araştırmacıları, saldırganların LinkedIn’de Web3 işe alım uzmanı gibi davranıp adaylara mülakat öncesi test edilmek üzere ‘asgari uygulanabilir ürün’ diye tanıtılan sahte GitHub depoları gönderdiği bir düzeni işaret etti. Herhangi bir teknik elemede rutin sayılan bu kodun çalıştırılması, proje anahtarlarını, bulut kimlik bilgilerini ve cüzdan eklentisi verilerini çalan bir uzaktan erişim truva atını sisteme yerleştiriyor. İlişkili bir başka operasyon ise Telegram oturumlarını ele geçirmek için macOS kullanıcılarını hedef aldı. Bu tuzakların hiçbiri meşru bir token airdrop içermese de, hedefi savunmasız bırakmak için aynı güven temelli çerçeveyi ödünç alıyor.
Bir arada okunduğunda bu olaylar birden çok değil tek bir strateji anlatıyor: saldırganlar kriptografiyi kırmaktan insan güvenini kırmaya geçmiş, GitHub’ı, LinkedIn’i ve sahte cüzdan ekranlarını doğrudan seed phrase’e ulaşmak için silaha dönüştürmüş durumda. COINOTAG’ın kendi piyasa verileri zamanlamanın neden kritik olduğunu gösteriyor: Korku ve Açgözlülük Endeksi 25 seviyesinde (Aşırı Korku), Bitcoin baskınlığı yüzde 69,9 civarında ve toplam kripto para piyasası değeri yaklaşık 1,85 trilyon dolar iken, fonlarını güvenceye almak veya taşımak için telaşlanan yatırımcılar tam da sosyal mühendislik kitlerinin sömürdüğü kitle. Bizim okumamıza göre operasyonel güvenlik artık herhangi bir fiyat seviyesi veya tüm zamanların en yükseği kadar sermayeyi de koruyor; ele geçirilen bir kurtarma ifadesi, hiçbir piyasa toparlanmasının geri getiremeyeceği kazançları siler.
COINOTAG bir finansal danışmanlık hizmeti sunmamaktadır. Bu içerik sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi olarak değerlendirilmemelidir. Kripto para yatırımları yüksek risk içerir.
COINOTAG'i Google'da Tercih Et
Google Haberler ve Arama'da COINOTAG'i tercih edilen kaynaklara ekleyin; haberlerimizi öncelikli görün.
Google'da Ekleİlgili Etiketler
Yapay zekâ destekli üretildi, AI ile incelendi ve COINOTAG editöryal gözetiminde yayımlandı.
18 Temmuz 2026 18:09 UTC
18 Temmuz 2026 16:14 UTC
18 Temmuz 2026 16:02 UTC
