Kaspersky GReAT revela el marco de malware OkoBot: diseñado para robar frases de recuperación de billeteras de criptomonedas, cookies del navegador y más

By: rootdata|2026/07/19 11:46:07

CriptoCírculo (120btc.CoM): El equipo de investigación y análisis global de Kaspersky (GReAT) ha revelado un marco de malware llamado OkoBot. Este marco incluye más de 20 tipos de programas maliciosos y elementos incrustados que operan en conjunto a través de túneles SSH, diseñados específicamente para robar frases de recuperación de billeteras de criptomonedas, cookies del navegador y contraseñas de cuentas, habiendo infiltrado a cientos de usuarios en 25 países alrededor del mundo.

Marco OkoBot: 20 programas maliciosos trabajando juntos

OkoBot no es un único programa malicioso, sino un conjunto completo de un marco de ataque modular. Kaspersky desglosó en un informe técnico de Securelist la cadena de infección completa: el downloader TookPS es responsable de la invasión inicial → SSHbot recopila información del sistema y establece un túnel inverso → el launcher HDUtil despliega varios módulos maliciosos → finalmente, a través de SFTP, envía de vuelta la información robada.

El marco incluye cinco tipos principales de complementos:

  • Envoltorio CMD (10xx): ejecuta códigos de instrucción y comandos individuales en el sistema
  • Envoltorio PowerShell (11xx): soporta la ejecución de códigos de instrucción de PowerShell
  • Enumerador de entorno (12xx): recopila información del sistema, sesiones activas y procesos
  • Downloader (14xx): descarga cargas adicionales desde blobs binarios Base64 incrustados o URLs
  • Inyector de procesos (16xx): inyecta elementos maliciosos en procesos normales

SeedHunter: robando frases de recuperación de Ledger y Trezor

Uno de los módulos centrales, SeedHunter, monitorea los procesos activos en el sistema e inyecta elementos en aplicaciones como Trezor Suite, Ledger Wallet y Ledger Live. Cuando detecta una billetera de hardware conectada, SeedHunter muestra una página de phishing codificada que solicita al usuario que ingrese su frase de recuperación. Esta página utiliza diferentes diseños para cada tipo de billetera, y las frases de recuperación robadas se envían de vuelta al servidor C2 encriptadas con RC4.

Kaspersky destacó en su comunicado de prensa oficial que los métodos de infección de OkoBot incluyen principalmente fraudes de clic a través de ClickFix y software disfrazado distribuido a través de GitHub. Los investigadores identificaron casos de instaladores falsos de SQL Server Management Studio que en realidad contenían elementos maliciosos del editor de audio Audacity.

OkoSpyware: grabando simultáneamente teclado y pantalla

El módulo OkoSpyware, que se ha añadido recientemente a OkoBot, captura simultáneamente las entradas del teclado y el flujo de video de las ventanas de las aplicaciones objetivo. Enumera más de 100 nombres de archivos ejecutables, incluyendo billeteras de criptomonedas como Exodus y Litecoin QT, gestores de contraseñas como KeePassXC y 1Password, así como varias aplicaciones comunes. Para cada proceso identificado, OkoSpyware utiliza una instancia incorporada de FFmpeg para grabar videos en MP4, mientras registra las entradas del teclado.

Los navegadores no son una excepción; cuando OkoSpyware detecta el título de la ventana de una página de extensión de billetera como MetaMask o Tonkeeper, inicia automáticamente la grabación y el registro de entradas, escribiendo el título de la ventana en un archivo de datos JSON intermedio.

Precio de --

--

Más de un año de actividad continua, los desarrolladores como objetivo principal

La cadena de infección de OkoBot comenzó a operar en abril de 2025 y ha estado activa durante más de un año, evolucionando continuamente. Los investigadores de Kaspersky señalaron que los países más atacados son Brasil, Vietnam, Canadá, México y Turquía. Aunque actualmente no se puede atribuir a un grupo criminal específico, el análisis técnico ha encontrado rastros de código en ruso, y el programa de espionaje utilizado por el malware (Rilide) circula ampliamente en foros de ciberdelincuencia de habla rusa.

Kaspersky advirtió en su informe que la evolución continua del marco OkoBot indica que los mantenedores de fondo siguen desarrollando activamente. A medida que las actividades de distribución continúan, el marco tiene el potencial de afectar a más usuarios y desarrolladores de criptomonedas.

Descargo de responsabilidad: Este contenido se proporciona únicamente con fines generales de desarrollo de marca e informativos y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Cualquier evento, recompensa, evento en línea o información relacionada que se mencione en el presente documento no debe considerarse como una recomendación, solicitud o invitación para comprar, vender, tradear o negociar de cualquier otra forma con cualquier criptoactivo o para utilizar cualquier servicio. Los criptoactivos son sumamente volátiles y pueden provocar pérdidas. Es posible que los servicios de WEEX y los eventos en línea no estén disponibles en todas las regiones, así como que estén sujetos a las leyes, regulaciones y requisitos de elegibilidad vigentes. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con las criptomonedas.

También te puede interesar

iconiconiconiconiconicon
Atención al cliente:@weikecs
Cooperación empresarial:@weikecs
Trading cuantitativo y MM:bd@weex.com
Programa VIP:support@weex.com