За даними Bits.media, дослідники з безпеки Kaspersky виявили шкідливе ПЗ OkoBot, яке працює понад один рік і використовує приблизно 20 модулів для викрадення фраз seed-ключів та облікових даних криптовалютних гаманців. Зловмисники застосовують техніки соціальної інженерії ClickFix, щоб обманювати користувачів і змушувати їх виконувати шкідливі команди, а також поширюють шкідливе ПЗ через репозиторії GitHub, замасковані під легітимні інструменти, зокрема SQL Server Management Studio. Ключові модулі включають SeedHunter: він інжектує в апаратні гаманці, зокрема Trezor і Ledger, та відображає фальшиві інтерфейси відновлення; MC Keylogger — записує активність клавіатури та буфера обміну; і OkoSpyware — відстежує паролі гаманців та записує відео активного вікна. Після того як зловмисники отримують фрази seed, вони здобувають повний контроль над криптоактивами жертв.
Більшість жертв зосереджена в Бразилії, В’єтнамі, Канаді, Мексиці та Туреччині. Зловмисники ввели геоблокування для IP-адрес у Росії та країнах Співдружності Незалежних Держав.