1) El hecho Un nuevo framework malicioso llamado OkoBot está distribuyendo más de 20 payloads en ataques centrados en robar frases semilla de wallets de criptomonedas, credenciales de acceso y otros datos sensibles. Identificado por Kaspersky, OkoBot llega a las víctimas mediante ataques ClickFix o repositorios maliciosos de GitHub que pretenden alojar herramientas legítimas. En un caso concreto, un repositorio ofrecía SQL Server Management Studio pero en realidad entregaba una versión troyanizada de la herramienta de edición de audio Audacity.
2) Contexto La campaña OkoBot ha estado activa durante más de un año, evolucionando de las actividades anteriores del script PowerShell TookPS con una cadena de infección completamente renovada. El bot SSH recopila información del sistema (nombre de usuario, software antivirus, dirección IP, versión del sistema operativo), desactiva las notificaciones de Windows Defender y roba archivos de wallets de criptomonedas, cookies del navegador y credenciales de cuentas. Entre los 20 módulos, los más notables incluyen: ext daemon (inyecta extensiones maliciosas en Chrome como Rilide dirigidas a credenciales y datos financieros), SeedHunter (se inyecta en Trezor Suite y Ledger Live para mostrar pantallas falsas de recuperación de frases semilla), MC Keylogger (captura teclas y actividad del portapapeles cada 5 minutos) y OkoSpyware (monitorea 100 programas incluyendo wallets y gestores de contraseñas, grabando vídeo mediante FFmpeg). La mayoría de las víctimas están en Brasil, seguidas de Vietnam, Canadá, México y Turquía.
3) Análisis OkoBot representa una profesionalización sin precedentes del cibercrimen enfocado en criptomonedas. La combinación de ingeniería social (ClickFix + repositorios falsos de GitHub), múltiples etapas de infección y 20 módulos especializados crea un ecosistema de ataque resiliente difícil de combatir con defensas tradicionales basadas en firmas. El módulo SeedHunter es particularmente peligroso: las frases semilla de recuperación conceden acceso total a los activos de criptomonedas sin posibilidad de reversión o recuperación de fondos. El enfoque geográfico en Brasil como principal objetivo sugiere direccionamiento lingüístico o explotación de vulnerabilidades específicas del mercado brasileño de criptomonedas. El geo-bloqueo de IPs rusas y de la CEI en los servidores de comando indica probable origen postsoviético, corroborado por comentarios en ruso en el código fuente de SeedHunter.
4) Qué observar • Los usuarios de Trezor y Ledger son objetivos directos — desconfiar de pantallas de recuperación de seed no solicitadas. • Los desarrolladores deben verificar la autenticidad de los repositorios de GitHub antes de descargar herramientas. • La evolución de TookPS a OkoBot muestra que las campañas antiguas se reingenierizan constantemente. • Brasil como objetivo principal sugiere campañas de phishing localizadas en portugués.
Fuente: BleepingComputer