A Kaspersky descobriu uma nova estrutura de malware direcionada a investidores em criptomoeda num relatório de quarta-feira. Apelidado OkoBot, o malware inicia uma cadeia de infeções através de táticas de engenharia social como o ClickFix, que engana os utilizadores para executarem comandos maliciosos, ou aplicações do GitHub “trojanizadas” que entregam uma backdoor a dispositivos infetados. A Kaspersky identificou vários ataques envolvendo esta família de malware desde janeiro de 2026. O malware consegue recolher ficheiros de carteiras de criptomoeda, dados do browser e credenciais do utilizador, injetar extensões maliciosas e capturar janelas de aplicações de carteira para roubar ativos. A estrutura de malware evoluiu a partir do TookPS, uma campanha de malware identificada pela primeira vez em 2025 que distribuía um downloader Trojan através de websites falsos.
A estrutura do OkoBot funciona através de uma arquitetura de túnel SSH
O OkoBot difere das campanhas anteriores ao orquestrar todas as 20 cargas úteis maliciosas através de um túnel SSH, o que permite o transporte remoto de dados de computadores infetados para máquinas remotas controladas por atacantes. A Kaspersky acrescentou que a estrutura abre a porta a ataques “copycat”.
![Original OkoBot infection chain. Source: Kaspersky]()
Campanhas falsas no LinkedIn visam programadores Web3 através de repositórios maliciosos do GitHub
Uma campanha separada de malware procura infetar os dispositivos de programadores Web3 através de oportunidades falsas de recrutamento no LinkedIn, segundo a SlowMist. Os atacantes contactam programadores de blockchain via LinkedIn, posicionando-se como recrutadores de Web3, disse a empresa de segurança de blockchain num relatório de sábado. Em seguida, enviam repositórios falsos do GitHub às vítimas, alegando que continham o produto mínimo viável que precisava de ser experimentado antes da entrevista.
O fluxo de trabalho assemelha-se de perto a uma entrevista técnica legítima, em que os programadores fazem pull do código, instalam dependências e lançam um projeto, o que torna difícil detetar o ataque, segundo a SlowMist. O malware tem como objetivo entregar um Trojan completo de acesso remoto que infeta dispositivos, permitindo que os atacantes roubem chaves do projeto, credenciais de cloud ou dados de extensão de carteira destes programadores.
A SlowMist escreveu que este ataque não é um caso isolado, acrescentando que incidentes recentes mostram que os atacantes estão a aproveitar cada vez mais cenários como recrutamento, revisões de código e colaborações em projetos para enganar os programadores a executarem ativamente repositórios maliciosos. O relatório surgiu um dia depois de a SlowMist ter alertado para uma campanha separada de malware direcionada a utilizadores de macOS, com o objetivo de roubar as respetivas credenciais e sequestrar as sessões do Telegram para, no fim, levar os investidores a introduzirem as suas frases de recuperação da carteira através de websites falsos.
Perguntas Frequentes
O que é o malware OkoBot e quando foi descoberto?
O OkoBot é uma estrutura de malware direcionada a investidores em criptomoeda que a Kaspersky descobriu num relatório de quarta-feira. A Kaspersky identificou vários ataques envolvendo esta família de malware desde janeiro de 2026. O malware inicia infeções através de táticas de engenharia social como o ClickFix ou aplicações do GitHub “trojanizadas” e pode recolher ficheiros de carteiras de criptomoeda, dados do browser, credenciais do utilizador, injetar extensões maliciosas e capturar janelas de aplicações de carteira.
Como é que as campanhas falsas de recrutamento no LinkedIn visam programadores Web3?
Os atacantes contactam programadores de blockchain via LinkedIn, posicionando-se como recrutadores de Web3, de acordo com o relatório de sábado da SlowMist. Enviam repositórios falsos do GitHub às vítimas, afirmando que contêm um produto mínimo viável que precisa de ser experimentado antes da entrevista. O fluxo de trabalho assemelha-se a uma entrevista técnica legítima, onde os programadores fazem pull do código, instalam dependências e lançam um projeto, dificultando detetar o ataque. O malware entrega um Trojan de acesso remoto que rouba chaves do projeto, credenciais de cloud ou dados de extensão de carteira.