Kaspersky GReAT revela el marco de malware OkoBot: diseñado para robar frases de recuperación de billeteras de criptomonedas, cookies del navegador y más
CriptoCírculo (120btc.CoM): El equipo de investigación y análisis global de Kaspersky (GReAT) ha revelado un marco de malware llamado OkoBot. Este marco incluye más de 20 tipos de programas maliciosos y elementos incrustados que operan en conjunto a través de túneles SSH, diseñados específicamente para robar frases de recuperación de billeteras de criptomonedas, cookies del navegador y contraseñas de cuentas, habiendo infiltrado a cientos de usuarios en 25 países alrededor del mundo.
Marco OkoBot: 20 programas maliciosos trabajando juntos
OkoBot no es un único programa malicioso, sino un conjunto completo de un marco de ataque modular. Kaspersky desglosó en un informe técnico de Securelist la cadena de infección completa: el downloader TookPS es responsable de la invasión inicial → SSHbot recopila información del sistema y establece un túnel inverso → el launcher HDUtil despliega varios módulos maliciosos → finalmente, a través de SFTP, envía de vuelta la información robada.
El marco incluye cinco tipos principales de complementos:
- Envoltorio CMD (10xx): ejecuta códigos de instrucción y comandos individuales en el sistema
- Envoltorio PowerShell (11xx): soporta la ejecución de códigos de instrucción de PowerShell
- Enumerador de entorno (12xx): recopila información del sistema, sesiones activas y procesos
- Downloader (14xx): descarga cargas adicionales desde blobs binarios Base64 incrustados o URLs
- Inyector de procesos (16xx): inyecta elementos maliciosos en procesos normales
SeedHunter: robando frases de recuperación de Ledger y Trezor
Uno de los módulos centrales, SeedHunter, monitorea los procesos activos en el sistema e inyecta elementos en aplicaciones como Trezor Suite, Ledger Wallet y Ledger Live. Cuando detecta una billetera de hardware conectada, SeedHunter muestra una página de phishing codificada que solicita al usuario que ingrese su frase de recuperación. Esta página utiliza diferentes diseños para cada tipo de billetera, y las frases de recuperación robadas se envían de vuelta al servidor C2 encriptadas con RC4.
Kaspersky destacó en su comunicado de prensa oficial que los métodos de infección de OkoBot incluyen principalmente fraudes de clic a través de ClickFix y software disfrazado distribuido a través de GitHub. Los investigadores identificaron casos de instaladores falsos de SQL Server Management Studio que en realidad contenían elementos maliciosos del editor de audio Audacity.
OkoSpyware: grabando simultáneamente teclado y pantalla
El módulo OkoSpyware, que se ha añadido recientemente a OkoBot, captura simultáneamente las entradas del teclado y el flujo de video de las ventanas de las aplicaciones objetivo. Enumera más de 100 nombres de archivos ejecutables, incluyendo billeteras de criptomonedas como Exodus y Litecoin QT, gestores de contraseñas como KeePassXC y 1Password, así como varias aplicaciones comunes. Para cada proceso identificado, OkoSpyware utiliza una instancia incorporada de FFmpeg para grabar videos en MP4, mientras registra las entradas del teclado.
Los navegadores no son una excepción; cuando OkoSpyware detecta el título de la ventana de una página de extensión de billetera como MetaMask o Tonkeeper, inicia automáticamente la grabación y el registro de entradas, escribiendo el título de la ventana en un archivo de datos JSON intermedio.
Más de un año de actividad continua, los desarrolladores como objetivo principal
La cadena de infección de OkoBot comenzó a operar en abril de 2025 y ha estado activa durante más de un año, evolucionando continuamente. Los investigadores de Kaspersky señalaron que los países más atacados son Brasil, Vietnam, Canadá, México y Turquía. Aunque actualmente no se puede atribuir a un grupo criminal específico, el análisis técnico ha encontrado rastros de código en ruso, y el programa de espionaje utilizado por el malware (Rilide) circula ampliamente en foros de ciberdelincuencia de habla rusa.
Kaspersky advirtió en su informe que la evolución continua del marco OkoBot indica que los mantenedores de fondo siguen desarrollando activamente. A medida que las actividades de distribución continúan, el marco tiene el potencial de afectar a más usuarios y desarrolladores de criptomonedas.
Descargo de responsabilidad: Este contenido se proporciona únicamente con fines generales de desarrollo de marca e informativos y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Cualquier evento, recompensa, evento en línea o información relacionada que se mencione en el presente documento no debe considerarse como una recomendación, solicitud o invitación para comprar, vender, tradear o negociar de cualquier otra forma con cualquier criptoactivo o para utilizar cualquier servicio. Los criptoactivos son sumamente volátiles y pueden provocar pérdidas. Es posible que los servicios de WEEX y los eventos en línea no estén disponibles en todas las regiones, así como que estén sujetos a las leyes, regulaciones y requisitos de elegibilidad vigentes. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con las criptomonedas.
También te puede interesar

La justicia de Inglaterra evalúa si una deuda puede pagarse en bitcoin

Moonshot y el momento DeepSeek 2: qué cambia en la carrera de la IA

¡No entenderás lo que sucede con las criptomonedas si no miras a Estados Unidos!

Se activó el hard fork Van Rossem en la red Cardano; ¿es hora de un salto en el precio de ADA?

Lyn Alden sobre el debate de la moda Bitcoin: No está entre mis 10 problemas más importantes

Comparación de Whitepapers de Hyperliquid y dYdX (2026): ¿Cuál DEX Perpetuo Tiene la Mejor Visión?

« Cometí un error »: Warren Buffett finalmente compra Google y explica por qué

CPI de Vale: por qué el Congreso apunta a la interferencia del gobierno

USDT resiste, USDS se desploma, el mercado de stablecoins cambia de cara

La confianza en línea sacudida por la IA... El sistema de verificación basado en ZK como solución emergente

AZ-COM Maruwa invierte ¥1B en JPYC en un importante impulso de stablecoin

Gigante logístico japonés planea pagos en JPYC para 2,300 socios

Activación del comercio de Solana (SOL) y soporte técnico estable

UnitedHealth sorprende a Wall Street y señala un cambio de rumbo

Wall Street observa el mercado coreano: el PER del KOSPI alcanza un mínimo de 20 años, Goldman Sachs mantiene un objetivo de 12,000 puntos y sugiere comprar en caídas

El presidente de Circle respalda a USDC mientras la presión de nuevos rivales afecta las acciones de CRCL

Spreadefi: Un análisis más cercano sobre si es una estafa o no

Copa del Mundo 2026: Los mercados predictivos registran 5,57 mil millones de dólares en transacciones antes de la final

Cripto: Tres falsos policías roban más de 5 millones de dólares en el Reino Unido

SpaceX ha perdido más de 1 billón de dólares en valor de mercado desde su máximo histórico

Michael Saylor advierte que BIP 110 podría amenazar la neutralidad de Bitcoin

FTX establece un pago de $900 millones a acreedores mientras la solicitud de clemencia de SBF pierde apoyo

Coinbase perdió contacto con usuarios nativos de criptomonedas, admite Cobie

El mercado cripto cae un 36 % mientras las aplicaciones generan 5,9 mil millones

Bitcoin: ¿El creador Satoshi Nakamoto sigue vivo? Adam Back responde

Corea del Sur planea introducir un sistema regulatorio de activos virtuales basado en IA, informa más de 30 casos de criptomonedas en dos años para combatir la manipulación del mercado

Guía de la Temporada de Altcoins 2026: Análisis de Valores Actuales y Señales del Mercado, ¿Es Hora de Recibir la Temporada de Altcoins?

¡Esperan que X se convierta en el centro de gobernanza de IA global! Vitalik le pide a Musk: no dejes que solo los gobiernos y las grandes tecnológicas tomen decisiones

¿Está cerca el final de la venta masiva de acciones tecnológicas más rápida y profunda de la historia?














