Kaspersky revela ataque malicioso OkoBot: 20+ programas em conjunto para roubar as seed phrases de carteiras criptográficas

A equipa GReAT da Kaspersky revela o framework de malware OkoBot: mais de 20 tipos de malware trabalham em conjunto para roubar frases-passe (seed phrases) de carteiras cripto, cookies do navegador, entre outros dados; já comprometeu 25 países e centenas de utilizadores.
(Antecedentes: cuidado! A Kaspersky identificou malware que rouba frases-passe (seed phrases) de carteiras em aplicações populares para Android e iOS)
(Informação adicional: o malware SparkKitty infiltrou as lojas da Apple e da Google, roubando “capturas de ecrã” de carteiras cripto com frases-passe)

Índice

Toggle

  • Framework OkoBot: 20 tipos de malware a trabalhar em conjunto
  • SeedHunter: roubo de frases-passe (seed phrases) de Ledger e Trezor
  • OkoSpyware: gravação simultânea de teclado e do ecrã
  • Ativo de forma contínua há mais de um ano, com os criadores como principal alvo

A equipa global de investigação e análise da Kaspersky (GReAT) revelou um framework de malware chamado OkoBot. O framework inclui mais de 20 tipos de malware e componentes inseridos (implantes), que operam de forma coordenada através de túneis SSH, com o objetivo de roubar frases-passe (seed phrases) de carteiras de criptomoedas, cookies do navegador e palavras-passe de contas. Já se encontra em 25 países, afetando centenas de utilizadores em todo o mundo.

Framework OkoBot: 20 tipos de malware a trabalhar em conjunto

O OkoBot não é um único malware, mas sim um conjunto de frameworks de ataque modulares. A Kaspersky, num relatório técnico do Securelist, decompôs em detalhe toda a cadeia de infeção: o downloader TookPS é responsável pela intrusão inicial → o bot SSH recolhe informações do sistema e cria um túnel inverso → o lançador (launcher) HDUtil implementa os diferentes módulos maliciosos → por fim, envia os dados roubados de volta através de SFTP.

O framework inclui cinco plugins principais:

  • Empacotador (wrapper) CMD(10xx):executa scripts e comandos individuais no sistema
  • Empacotador (wrapper) PowerShell(11xx):suporta a execução de scripts PowerShell
  • Enumerador de ambiente(12xx):recolhe informações do sistema, sessões ativas e trajetos
  • Downloader(14xx):transfere cargas adicionais (payloads) a partir de um blob binário Base64 embutido ou de uma URL
  • Injetor de processos (process injection)(16xx):injeta implantes maliciosos em processos legítimos

SeedHunter: roubo de frases-passe (seed phrases) de Ledger e Trezor

Um dos módulos centrais, o SeedHunter, monitoriza os processos ativos no sistema e injeta os implantes nas aplicações Trezor Suite, Ledger Wallet e Ledger Live, entre outras. Quando deteta uma carteira de hardware conectada, o SeedHunter apresenta uma página de phishing com conteúdo codificado (hardcoded), pedindo ao utilizador que introduza a frase-passe (seed phrase). A página utiliza designs de interface diferentes para cada tipo de carteira, e as frases-passe roubadas são depois enviadas para o servidor C2 através de encriptação RC4.

A Kaspersky salienta, num comunicado oficial, que a via de infeção do OkoBot inclui principalmente o ClickFix (fraude/clique indevido) e software disfarçado distribuído via GitHub. Os investigadores identificaram exemplos de um instalador falso do SQL Server Management Studio, que na prática incluía um editor de áudio Audacity com implantes maliciosos embutidos.

OkoSpyware: gravação simultânea de teclado e do ecrã

O módulo OkoSpyware, recentemente adicionado ao OkoBot, captura em simultâneo a introdução de teclado e um streaming de vídeo da janela da aplicação-alvo. Ele lista mais de 100 nomes de ficheiros executáveis, incluindo carteiras cripto como Exodus e Litecoin QT, gestores de passwords como KeePassXC e 1Password, bem como várias aplicações comuns. Para cada processo identificado, o OkoSpyware usa uma instância incorporada do FFmpeg para gravar vídeos MP4 e, em paralelo, regista as entradas de teclas (keystrokes).

O browser também não fica de fora: quando o OkoSpyware deteta o título da janela de páginas de extensões de carteiras como a MetaMask ou Tonkeeper, inicia automaticamente a gravação e o registo de entradas, e grava o título da janela no ficheiro de metadados em formato JSON.

Ativo de forma contínua há mais de um ano, com os criadores como principal alvo

A cadeia de infeção do OkoBot já está a funcionar desde abril de 2025; até hoje já ultrapassou um ano e continua a evoluir. Os investigadores da Kaspersky referem que os países mais atingidos pelos utilizadores atacados são, respetivamente, o Brasil, o Vietname, o Canadá, o México e a Turquia. Embora, neste momento, não seja possível atribuir a um grupo criminoso específico, a análise técnica detetou marcas de código em russo e verificou-se que os módulos de roubo (Rilide) usados pelo malware circulam amplamente em fóruns de crimes informáticos de língua russa.

Num relatório, a Kaspersky alerta que a evolução contínua do framework OkoBot indica que os responsáveis pela manutenção em back-end continuam a desenvolver ativamente. À medida que as atividades de distribuição prosseguem, o framework tem potencial para afetar ainda mais utilizadores de criptomoedas e programadores.

LTC0,78%
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • Comentar
  • Republicar
  • Partilhar
Comentar
Adicionar um comentário
Adicionar um comentário
Nenhum comentário
  • Fixado