По данным Bits.media, исследователи Kaspersky обнаружили вредоносную программу OkoBot, которая активна уже более года и использует около 20 модулей для кражи фраз сид-кода и учетных данных криптовалютных кошельков. Злоумышленники применяют техники социнженерии ClickFix, чтобы обманом заставить пользователей выполнять вредоносные команды, а также распространяют ПО через репозитории GitHub, маскируя его под легитимные инструменты, например SQL Server Management Studio. Ключевые модули включают SeedHunter: он внедряет аппаратные кошельки вроде Trezor и Ledger и показывает поддельные интерфейсы восстановления; MC Keylogger — записывает активность клавиатуры и буфера обмена; и OkoSpyware — отслеживает пароли кошельков и записывает видео окон. После того как злоумышленники получают фразы сид-кода, они получают полный контроль над криптоактивами жертв.
Большинство жертв находятся в Бразилии, Вьетнаме, Канаде, Мексике и Турции. Злоумышленники внедрили географические блокировки для IP-адресов в России и странах Содружества Независимых Государств.