A Kaspersky revela ataque malicioso do OkoBot: 20+ programas em conjunto roubam senhas (seed phrases) de carteiras cripto

A equipe GReAT da Kaspersky revelou o framework de malware OkoBot, em que mais de 20 tipos de malwares atuam em conjunto para roubar palavras-passe-mestre (frases-semente) de carteiras cripto, além de cookies do navegador e outros dados. Ele já se infiltrou em 25 países, com centenas de usuários atingidos.
(Histórico: cuidado! A Kaspersky encontrou malware que rouba frases-semente de carteiras em apps populares no Android e no iOS)
(Complemento de contexto: o malware SparkKitty se infiltrou na Apple e na Google Stores, roubando o “print das frases-semente” de carteiras cripto)

Sumário

Toggle

  • Framework OkoBot: 20 malwares em ação conjunta
  • SeedHunter: roubo de frases-semente de Ledger e Trezor
  • OkoSpyware: gravação simultânea de teclado e tela
  • Mais de um ano de atividade contínua, com foco nos principais alvos

A equipe global de pesquisa e análise da Kaspersky (GReAT) revelou um framework de malware chamado OkoBot. O framework inclui mais de 20 tipos de malwares e componentes maliciosos, que operam em conjunto via túneis SSH, com foco em roubar frases-semente de carteiras de criptomoedas, cookies do navegador e senhas de contas, já tendo se infiltrado em 25 países e em centenas de usuários no mundo.

Framework OkoBot: 20 malwares em ação conjunta

O OkoBot não é um único malware, mas sim um conjunto de estruturas de ataque modulares. A Kaspersky, em um relatório técnico da Securelist, detalhou a cadeia completa de infecção: o downloader TookPS realiza a invasão inicial → o bot SSH coleta informações do sistema e estabelece um túnel reverso → o gerenciador HDUtil implanta cada módulo malicioso → por fim, envia os dados roubados de volta via SFTP.

A estrutura inclui cinco plug-ins principais:

  • Empacotador de CMD (10xx): executa scripts e comandos individuais no sistema
  • Empacotador de PowerShell (11xx): oferece suporte à execução de scripts em PowerShell
  • Enumerador de ambiente (12xx): coleta informações do sistema, sessões ativas e itinerários
  • Downloader (14xx): baixa cargas adicionais a partir de um blob binário Base64 embutido ou de uma URL
  • Injetor de processo (16xx): injeta componentes maliciosos em processos normais

SeedHunter: roubo de frases-semente de Ledger e Trezor

Um dos módulos centrais, o SeedHunter, monitora os processos ativos no sistema e injeta o componente malicioso em aplicativos como Trezor Suite, Ledger Wallet e Ledger Live. Quando detecta um wallet de hardware conectado, o SeedHunter exibe uma página de phishing com conteúdo “hardcoded”, pedindo que o usuário insira a frase-semente. A página usa layouts diferentes para cada tipo de carteira; depois, as frases-semente roubadas são enviadas de volta ao servidor C2 com criptografia RC4.

A Kaspersky, em comunicado oficial, destacou que a via de infecção do OkoBot inclui principalmente fraudes por clique via ClickFix e softwares disfarçados distribuídos via GitHub. Os pesquisadores identificaram casos de um instalador falso de SQL Server Management Studio, que na prática vem embutido com um editor de áudio Audacity contendo componentes maliciosos.

OkoSpyware: gravação simultânea de teclado e tela

O módulo mais recente adicionado ao OkoBot, o OkoSpyware, captura simultaneamente entradas de teclado e um fluxo de vídeo da janela do aplicativo-alvo. Ele lista mais de 100 nomes de arquivos executáveis, incluindo carteiras cripto como Exodus e Litecoin QT, além de gerenciadores de senhas como KeePassXC e 1Password, e vários outros aplicativos comuns. Para cada processo identificado, o OkoSpyware usa uma instância embutida do FFmpeg para gravar vídeos MP4 e, ao mesmo tempo, registrar as teclas digitadas.

O navegador também não fica de fora: quando o OkoSpyware detecta o título da janela de uma extensão de wallet como MetaMask ou Tonkeeper, ele inicia automaticamente a gravação e o registro das entradas, e grava o título da janela em um arquivo de metadados JSON.

Mais de um ano de atividade contínua, com foco nos principais alvos

A cadeia de infecção do OkoBot começou a operar já em abril de 2025; até agora já ultrapassou um ano e segue evoluindo. Pesquisadores da Kaspersky apontaram que os países com mais usuários afetados são, respectivamente, Brasil, Vietnã, Canadá, México e Turquia. Embora ainda não seja possível atribuir a um grupo criminoso específico, a análise técnica identificou vestígios de código em russo e o malware de espionagem usado (Rilide) circula amplamente em fóruns de cibercrime na língua russa.

Em seu relatório, a Kaspersky alerta que a evolução contínua do framework OkoBot mostra que os mantenedores do back-end seguem desenvolvendo ativamente. À medida que as atividades de distribuição continuam, o framework tem potencial para afetar mais usuários e desenvolvedores de criptomoedas.

LTC1,64%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado