El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha emitido una alerta de seguridad sobre la rápida propagación de OkoBot, un sofisticado marco de malware que tiene como objetivo activo a los usuarios de criptomonedas en 25 países. La advertencia sigue a un aumento en los ataques maliciosos y un consejo adicional para una mayor vigilancia de los usuarios.
Malware modular ataca a titulares de criptomonedas desprevenidos
Kaspersky, líder global en soluciones de ciberseguridad, informó que los hackers han adaptado sus técnicas, ahora priorizando a individuos que anteriormente consideraban seguros sus sistemas. Los operadores de OkoBot se enfocan específicamente en propietarios de activos digitales, utilizando métodos avanzados para comprometer sus carteras.
La campaña en curso explota aplicaciones de monedero de escritorio oficiales utilizadas para la gestión de criptomonedas, como Ledger Live, Ledger Wallet y Trezor Suite, inyectando una solicitud de verificación falsa. Este enfoque busca recolectar información vital y, finalmente, obtener acceso no autorizado a los fondos de los usuarios.
GReAT de Kaspersky advierte que el malware OkoBot intercepta aplicaciones de monedero legítimas, desencadenando una ventana de verificación falsa destinada a robar credenciales sensibles de los titulares de criptomonedas.
Para reducir el riesgo, los expertos proporcionan tres recomendaciones de seguridad: nunca escribir frases de recuperación usando un teclado de PC, abstenerse de ejecutar scripts de terceros de fuentes de internet no identificadas y verificar regularmente conexiones ocultas de Protocolo de Escritorio Remoto (RDP) en dispositivos personales.
Dirigiéndose a profesionales de TI con instalaciones engañosas
Los atacantes han cambiado su enfoque hacia especialistas en TI y desarrolladores, aprovechando su familiaridad con herramientas digitales para engañarlos para que descarguen malware. La infección inicial a menudo ocurre cuando los hackers incrustan OkoBot en versiones falsas de utilidades de trabajo ampliamente utilizadas y distribuyen estos instaladores alterados a través de plataformas como GitHub.
Los investigadores han identificado OkoBot incrustado en un instalador fraudulento de Microsoft SQL Server Management Studio (SSMS), destacando el riesgo para profesionales que pueden comprometer inadvertidamente sus sistemas.
Más allá de los instaladores disfrazados, un vector de ataque notable involucra las llamadas técnicas ClickFix. Estas explotaciones de ingeniería social persuaden a los usuarios a ejecutar códigos maliciosos en ventanas de terminal, típicamente presentando errores de navegador fabricados y ofreciendo “soluciones” basadas en código.
Mini diccionario: Los ataques ClickFix son una forma de ingeniería social donde los atacantes incitan a las víctimas a ejecutar comandos aparentemente inofensivos en su terminal o línea de comandos, bajo la falsa premisa de resolver problemas del sistema o del navegador. Estas acciones instalan malware sin que la víctima lo sepa.
Ampliando el conjunto de herramientas y alcance internacional
OkoBot emplea una estructura modular, conteniendo más de 20 componentes separados para maximizar el impacto. Entre estos están el Rilide infostealer, que exfiltra información almacenada, y el módulo de vigilancia OkoSpyware, mejorando la capacidad del malware para permanecer indetectado y adaptarse a las medidas de seguridad.
GReAT de Kaspersky observó las tasas más altas de infección en Brasil, Vietnam, Canadá, México y Turquía, pero los analistas esperan que OkoBot alcance un rango más amplio de objetivos debido a sus características adaptables y personalizables.
| País | Infecciones reportadas de OkoBot |
|---|---|
| Brasil | Alta |
| Vietnam | Alta |
| Canadá | Alta |
| México | Alta |
| Turquía | Alta |
Los atacantes también han desarrollado extensiones de navegador ocultas compatibles con navegadores basados en Chromium, como Chrome y Edge. Estas extensiones están diseñadas para ser invisibles en la lista de complementos instalados, aumentando el riesgo de que los usuarios permanezcan ignorantes del software malicioso operando dentro de sus sistemas.
En la etapa final del malware, las computadoras de las víctimas pueden ser vendidas a gran escala a otros ciberdelincuentes. Los mecanismos de persistencia incluyen la creación de nuevas cuentas de administrador y túneles permanentes de Secure Shell (SSH) para mantener el acceso remoto a través de RDP.
La naturaleza modular de OkoBot, junto con su capacidad para ocultar extensiones de navegador maliciosas y mantener un acceso profundo al sistema, señala una escalada significativa en los ataques dirigidos contra titulares de criptomonedas y profesionales de TI.


