Kaspersky descubre el framework de malware OkoBot dirigido a inversores de criptomonedas

Kaspersky descubrió un nuevo framework de malware que ataca a inversores de criptomonedas en un informe del miércoles. Bautizado OkoBot, el malware inicia una cadena de infección mediante tácticas de ingeniería social como ClickFix, que engaña a los usuarios para que ejecuten comandos maliciosos, o aplicaciones de GitHub trojanizadas que entregan una puerta trasera a los dispositivos infectados. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware puede extraer archivos de billeteras cripto, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras para robar activos. El framework de malware evolucionó a partir de TookPS, una campaña de malware identificada por primera vez en 2025 que distribuía un descargador troyano mediante sitios web falsos de software.

El framework de OkoBot opera mediante una arquitectura de túnel SSH

OkoBot difiere de campañas anteriores al orquestar los 20 payloads maliciosos a través de un túnel SSH, lo que permite el transporte remoto de datos desde computadoras infectadas a máquinas remotas controladas por los atacantes. Kaspersky añadió que el framework abre la puerta a ataques de copia.

Original OkoBot infection chain. Source: Kaspersky

Campañas falsas de LinkedIn para atacar a desarrolladores Web3 mediante repositorios maliciosos de GitHub

Una campaña de malware separada busca infiltrarse en los dispositivos de desarrolladores Web3 a través de oportunidades falsas de reclutamiento en LinkedIn, según SlowMist. Los atacantes contactan a desarrolladores de blockchain vía LinkedIn, haciéndose pasar por reclutadores de Web3, dijo la empresa de seguridad de blockchain en un informe del sábado. Luego envían repositorios falsos de GitHub a las víctimas, afirmando que contenían el producto mínimo viable que debía probarse antes de la entrevista.

El flujo de trabajo se parece mucho a una entrevista técnica legítima, donde los desarrolladores descargan código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque, según SlowMist. El malware pretende entregar un troyano de acceso remoto completo que infecta dispositivos, permitiendo a los atacantes robar claves del proyecto, credenciales en la nube o datos de extensiones de billeteras de estos desarrolladores.

SlowMist escribió que este ataque no es un caso aislado y añadió que incidentes recientes muestran que los atacantes están aprovechando cada vez más escenarios como reclutamiento, revisiones de código y colaboraciones de proyectos para engañar a los desarrolladores y hacer que ejecuten activamente repositorios maliciosos. El informe llegó un día después de que SlowMist advirtiera sobre una campaña de malware separada dirigida a usuarios de macOS, con el objetivo de robar sus credenciales y secuestrar sus sesiones de Telegram para, en última instancia, engañar a los inversores a introducir sus frases de recuperación de billetera a través de sitios web falsos.

FAQ

¿Qué es el malware OkoBot y cuándo se descubrió?

OkoBot es un framework de malware dirigido a inversores de criptomonedas que Kaspersky descubrió en un informe del miércoles. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware inicia la infección mediante tácticas de ingeniería social como ClickFix o aplicaciones de GitHub trojanizadas y puede extraer archivos de billeteras cripto, datos del navegador, credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras.

¿Cómo atacan las campañas falsas de reclutamiento en LinkedIn a los desarrolladores Web3?

Los atacantes contactan a desarrolladores de blockchain vía LinkedIn, haciéndose pasar por reclutadores de Web3, según el informe del sábado de SlowMist. Envían repositorios falsos de GitHub a las víctimas, afirmando que contienen un producto mínimo viable que necesita probarse antes de la entrevista. El flujo de trabajo se asemeja a una entrevista técnica legítima, donde los desarrolladores descargan código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque. El malware entrega un troyano de acceso remoto que roba claves del proyecto, credenciales en la nube o datos de extensiones de billeteras.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios