1) O fato Um novo framework malicioso chamado OkoBot está entregando mais de 20 payloads em ataques focados em roubar frases-semente de wallets de criptomoedas, credenciais e outros dados sensíveis. Identificado pela Kaspersky, o OkoBot chega às vítimas via ataques ClickFix ou repositórios maliciosos no GitHub que fingem hospedar ferramentas legítimas. Em um caso, um repositório oferecia SQL Server Management Studio (SSMS) mas entregava uma versão trojanizada do Audacity.
2) Contexto A campanha OkoBot está ativa há mais de um ano e evoluiu de atividades que entregavam o script PowerShell TookPS, com uma cadeia de infecção completamente renovada. O bot SSH coleta informações do sistema (nome de usuário, antivírus, endereço IP, versão do SO), desativa notificações do Windows Defender e rouba arquivos de wallets, cookies e credenciais de contas. Entre os 20 módulos, os mais notáveis incluem: ext daemon (injeta extensões maliciosas no Chrome como Rilide, que mira credenciais e dados financeiros), SeedHunter (injeta no Trezor Suite e Ledger Live para exibir telas falsas de recuperação de seed), MC Keylogger (captura teclas e clipboard a cada 5 minutos) e OkoSpyware (monitora 100 programas incluindo wallets e gerenciadores de senhas, gravando vídeo via FFmpeg). A maioria das vítimas está no Brasil, seguido por Vietnã, Canadá, México e Turquia.
3) Análise O OkoBot representa uma profissionalização sem precedentes do crime cibernético voltado a criptomoedas. A combinação de engenharia social (ClickFix + repositórios falsos no GitHub), múltiplos estágios de infecção e 20 módulos especializados cria um ecossistema de ataque resiliente e difícil de combater com defesas tradicionais. O módulo SeedHunter é particularmente perigoso: frases-semente de recuperação concedem acesso total aos ativos de criptomoedas do usuário, sem qualquer possibilidade de reversão ou recuperação dos fundos. O foco geográfico no Brasil como principal alvo sugere direcionamento linguístico ou exploração de vulnerabilidades específicas do mercado brasileiro de criptomoedas. O bloqueio geográfico de IPs russos e da CIS nos servidores de comando indica provável origem do grupo em países pós-soviéticos. A presença de comentários em russo no código-fonte do SeedHunter e o uso de um infostealer promovido em fóruns russos de cibercrime de acesso restrito corroboram essa hipótese.
4) O que observar • Usuários de Trezor e Ledger são alvos diretos — desconfiar de telas de recuperação de seed não solicitadas. • Desenvolvedores devem verificar autenticidade de repositórios GitHub antes de baixar qualquer ferramenta. • A evolução do TookPS para OkoBot mostra que campanhas antigas são constantemente reengenhadas e podem permanecer ativas por anos. • O Brasil como principal alvo sugere campanhas de phishing localizadas em português — usuários brasileiros de criptomoedas devem redobrar a atenção.
Fonte: BleepingComputer