A Kaspersky Descobre o Framework de Malware OkoBot Mirando Investidores de Cripto

A Kaspersky descobriu um novo framework de malware visando investidores em criptomoedas em um relatório de quarta-feira. Batizado de OkoBot, o malware inicia uma cadeia de infecção por meio de táticas de engenharia social como ClickFix, que induz os usuários a executarem comandos maliciosos, ou apps do GitHub com trojan embutido que entregam uma backdoor a dispositivos infectados. A Kaspersky identificou múltiplos ataques envolvendo essa família de malware desde janeiro de 2026. O malware pode coletar arquivos de carteira de criptomoeda, dados do navegador e credenciais do usuário, injetar extensões maliciosas e capturar janelas do aplicativo da carteira para roubar ativos. O framework evoluiu a partir do TookPS, uma campanha de malware identificada pela primeira vez em 2025 que distribuía um downloader Trojan por meio de sites falsos de software.

OkoBot Framework Operates Through SSH Tunnel Architecture

O OkoBot difere de campanhas anteriores ao orquestrar todas as 20 cargas maliciosas por meio de um túnel SSH, o que permite o transporte remoto de dados de computadores infectados para máquinas remotas controladas por atacantes. A Kaspersky acrescentou que o framework abre caminho para ataques de cópia.

Original OkoBot infection chain. Source: Kaspersky

Fake LinkedIn Campaigns Target Web3 Developers via Malicious GitHub Repositories

Uma campanha separada de malware busca infiltrar os dispositivos de desenvolvedores Web3 por meio de oportunidades falsas de recrutamento no LinkedIn, de acordo com a SlowMist. Os atacantes contatam desenvolvedores de blockchain via LinkedIn, se passando por recrutadores de Web3, disse a empresa de segurança em blockchain em um relatório de sábado. Em seguida, eles enviam repositórios falsos do GitHub às vítimas, alegando que continham o produto mínimo viável que precisava ser testado antes da entrevista.

O fluxo de trabalho se parece de perto com uma entrevista técnica legítima, em que os desenvolvedores puxam código, instalam dependências e iniciam um projeto, o que dificulta perceber o ataque, segundo a SlowMist. O malware tem como objetivo entregar um trojan completo de acesso remoto que infecta dispositivos, permitindo que os atacantes roubem chaves do projeto, credenciais de nuvem ou dados de extensão de carteira desses desenvolvedores.

A SlowMist escreveu que esse ataque não é um caso isolado, acrescentando que incidentes recentes mostram que os atacantes estão cada vez mais recorrendo a cenários como recrutamento, revisões de código e colaborações de projetos para enganar desenvolvedores a executarem ativamente repositórios maliciosos. O relatório veio um dia depois de a SlowMist alertar sobre uma campanha separada de malware visando usuários de macOS, com o objetivo de roubar credenciais e sequestrar sessões do Telegram para, por fim, enganar investidores a inserir suas frases de recuperação da carteira em sites falsos.

FAQ

O que é o malware OkoBot e quando foi descoberto?

O OkoBot é um framework de malware voltado a investidores em criptomoedas, que a Kaspersky descobriu em um relatório de quarta-feira. A Kaspersky identificou múltiplos ataques envolvendo essa família de malware desde janeiro de 2026. O malware inicia a infecção por meio de táticas de engenharia social como ClickFix ou apps do GitHub com trojan e pode coletar arquivos de carteira de criptomoeda, dados do navegador, credenciais do usuário, injetar extensões maliciosas e capturar janelas do aplicativo da carteira.

Como campanhas falsas de recrutamento no LinkedIn miram desenvolvedores Web3?

Os atacantes contatam desenvolvedores de blockchain via LinkedIn, se passando por recrutadores de Web3, segundo o relatório de sábado da SlowMist. Eles enviam repositórios falsos do GitHub às vítimas, afirmando que contêm um produto mínimo viável que precisa ser testado antes da entrevista. O fluxo de trabalho se assemelha a uma entrevista técnica legítima, em que os desenvolvedores puxam código, instalam dependências e iniciam um projeto, tornando difícil perceber o ataque. O malware entrega um trojan de acesso remoto que rouba chaves do projeto, credenciais de nuvem ou dados de extensão de carteira.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários