• 2 min de lectura
OkoBot roba frases semilla de criptomonedas con ventanas de recuperación falsas de Trezor
Kaspersky afirma que OkoBot ha dirigido ataques a propietarios de monederos de criptomonedas en más de 25 países durante más de un año, usando ventanas de recuperación falsas que imitan a Trezor y Led

Imagen: ITzine
Kaspersky GReAT dice haber descubierto una plataforma de malware llamada OkoBot que apunta a propietarios de monederos de criptomonedas robando sus frases semilla mediante avisos de recuperación falsos disfrazados como interfaces de Trezor y Ledger. La campaña ha estado activa por más de un año y ya ha afectado a cientos de usuarios en más de 25 países.
Esto importa porque una frase semilla equivale, efectivamente, al acceso total a un monedero. Una vez robada, no hay marcha atrás.
OkoBot incluye más de 20 módulos. Uno de ellos, OkoSpyware, puede capturar pulsaciones de teclado y vídeo de la ventana de una aplicación objetivo. Otro, SeedHunter, vigila los inicios de Trezor Suite, Ledger Wallet y Ledger Live. Si detecta un monedero hardware conectado, muestra una página de phishing de recuperación y pide a la víctima que introduzca su frase secreta, normalmente 12, 18 o 24 palabras. Eso es suficiente para mover los activos a otra dirección.
El malware se propaga de dos formas principales:
- a través de tácticas ClickFix, en las que los usuarios son engañados para ejecutar un comando malicioso al supuestamente corregir un error
- a través de GitHub, donde el malware se distribuye como herramientas ordinarias
Durante su investigación, Kaspersky encontró un instalador falso de SQL Server Management Studio, la herramienta de administración de bases de datos ampliamente utilizada de Microsoft. Eso hace que la campaña sea especialmente peligrosa para desarrolladores y profesionales de TI, que tienen más probabilidades de descargar utilidades, compilaciones de prueba y scripts desde repositorios.

Recomendado
La IA todavía no reemplazará a los pentesters
Kaspersky registró el mayor número de intentos de infección en Brasil, Vietnam, Canadá, México y Turquía. La empresa no identificó un grupo de amenazas específico, pero dijo que el código contenía artefactos en lengua rusa y que las técnicas se han visto previamente entre operadores de robo de datos de habla rusa.
Para los usuarios de monederos hardware, la advertencia es simple: Trezor y Ledger no deberían pedir repentinamente una frase semilla en una ventana emergente durante el uso normal. Si eso ocurre, casi con toda seguridad no se trata de una recuperación del monedero, sino de un intento de robarlo.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía ITzine


