En el mundo de las criptomonedas la seguridad es primordial. Sin embargo, un nuevo malware llamado OkoBot está poniendo en riesgo los activos digitales de los usuarios. Este framework malicioso ha sido identificado por Kaspersky y representa una amenaza significativa para los inversores en criptomonedas.
OkoBot utiliza técnicas de ingeniería social para infectar dispositivos, como ClickFix y aplicaciones troyanizadas de GitHub. Una vez dentro, el malware puede robar archivos de billeteras criptográficas datos de navegadores y credenciales de usuario. Además, puede inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras para robar activos. Kaspersky ha identificado múltiples ataques involucrando esta familia de malware desde enero de 2026.
Evolución de TookPS a OkoBot
OkoBot no es un malware aislado; de hecho, ha evolucionado de una campaña maliciosa llamada TookPS identificada por primera vez en 2026. TookPS distribuía un Trojan downloader a través de sitios web falsos de software. La diferencia clave de OkoBot es que orquestra todas sus 20 cargas útiles maliciosas a través de un túnel SSH lo que permite el transporte remoto de datos desde computadoras infectadas a máquinas controladas por atacantes.
Métodos de infección y robo de datos
OkoBot utiliza varios métodos para infectar dispositivos. Uno de los más comunes es a través de repositorios falsos en GitHub que pretenden ser herramientas legítimas. Por ejemplo, un repositorio que afirmaba ofrecer SQL Server Management Studio (SSMS) en realidad entregaba una versión troyanizada de Audacity una herramienta de edición de audio.
Una vez instalado, OkoBot utiliza un bot SSH para recolectar detalles del sistema, desactivar notificaciones de Windows Defender y robar archivos de billeteras criptográficas, cookies de navegadores y credenciales de cuenta. Entre los 20 módulos que utiliza OkoBot, destacan:
- ext daemon/extl.exe Inyecta en navegadores Chrome para instalar extensiones maliciosas como Rilide que roba credenciales, cookies y datos financieros.
- SeedHunter Inyecta en Trezor SuiteLedger Wallet y Ledger Live para mostrar una pantalla falsa de recuperación de semillas y robar frases de recuperación de billeteras.
- MC Keylogger Registra pulsaciones de teclas, actividad del portapapeles y toma capturas de pantalla cada 5 minutos.
- OkoSpyware Monitorea más de 100 programas, incluyendo billeteras criptográficas y gestores de contraseñas, y graba videos de sus ventanas.
Campañas de reclutamiento falsas en LinkedIn
Además de OkoBot, otra campaña maliciosa está utilizando LinkedIn para engañar a desarrolladores Web3. Los atacantes se hacen pasar por reclutadores de Web3 y envían repositorios falsos de GitHub a los desarrolladores, afirmando que contienen un producto mínimo viable que debe probarse antes de una entrevista. Este flujo de trabajo se asemeja a una entrevista técnica legítima, lo que dificulta detectar el ataque.
El malware entregado en estas campañas instala un trojan de acceso remoto que permite a los atacantes robar claves de proyectos, credenciales de nube o datos de extensiones de billeteras. Según SlowMist estos ataques no son casos aislados y muestran cómo los atacantes están aprovechando escenarios de reclutamiento, revisiones de código y colaboraciones de proyectos para engañar a los desarrolladores.
En un mundo donde la seguridad digital es crucial, es esencial estar informado sobre las últimas amenazas. OkoBot y otras campañas maliciosas subrayan la importancia de mantenerse vigilante y adoptar medidas de seguridad robustas para proteger los activos digitales.



