En el mundo de las criptomonedas la seguridad es primordial. Sin embargo, un nuevo marco malicioso llamado OkoBot está poniendo en riesgo los activos digitales de los usuarios. Este sofisticado malware ha estado activo desde abril de 2026 y ha infectado sistemas en más de 25 países, con un impacto significativo en Brasil, Vietnam, Canadá, México y Turquía.
OkoBot no es un simple virus; es un conjunto de más de 20 payloads diseñados para robar frases semilla de billeteras de criptomonedas, credenciales y otros datos sensibles. A diferencia de otros malware, OkoBot utiliza técnicas avanzadas para infiltrarse en los sistemas, incluyendo la inyección de código en aplicaciones legítimas como Trezor Suite, Ledger Wallet y Ledger Live.
Cómo OkoBot infecta los sistemas
El marco malicioso OkoBot utiliza dos principales vectores de infección: ataques ClickFix y repositorios maliciosos en GitHub. En un caso notable, un repositorio que pretendía ofrecer SQL Server Management Studio (SSMS) en realidad distribuía una versión troyanizada de Audacity, una herramienta de edición de audio.
Una vez que el malware se instala, utiliza un script de PowerShell llamado TookPS para descargar y configurar un bot SSH. Este bot es responsable de recolectar detalles del sistema, desactivar notificaciones de Windows Defender y robar archivos de billeteras de criptomonedas, cookies del navegador y credenciales de cuentas.
Los módulos más peligrosos de OkoBot
Entre los módulos más destacados de OkoBot se encuentran:
- ext daemon/extl.exe Inyecta código en navegadores Chrome para instalar extensiones maliciosas como Rilide, que roban credenciales, cookies y datos financieros.
- SeedHunter Inyecta código en aplicaciones de billeteras de criptomonedas para mostrar pantallas falsas de recuperación de frases semilla.
- MC Keylogger Registra pulsaciones de teclas, actividad del portapapeles y toma capturas de pantalla cada 5 minutos.
- OkoSpyware Monitorea más de 100 programas, incluyendo billeteras de criptomonedas y gestores de contraseñas, y graba videos de sus ventanas.
El riesgo de perder tus criptomonedas
Una frase semilla proporciona acceso completo a los activos de criptomonedas de un usuario. Si los atacantes obtienen esta frase, pueden transferir los fondos a billeteras bajo su control, sin posibilidad de recuperación. Por lo tanto, es crucial proteger esta información.
¿Quién está detrás de OkoBot?
Aunque no se ha atribuido el marco malicioso OkoBot a ningún actor de amenazas conocido, hay indicios que sugieren que podría estar relacionado con actores de habla rusa. Los servidores que albergan los scripts de PowerShell para la etapa inicial del ataque están geobloqueados para direcciones IP de Rusia y el espacio de la Comunidad de Estados Independientes (CIS). Además, el código fuente del módulo SeedHunter contiene comentarios en ruso.
Kaspersky ha proporcionado un conjunto de indicadores de compromiso que incluyen hashes de los plugins maliciosos, payloads de inyección, utilidades del bot SSH, rutas de archivos, dominios e direcciones IP. Estos indicadores pueden ayudar a los usuarios a detectar y protegerse contra las infecciones de OkoBot.
Para protegerse contra este tipo de amenazas, se recomienda utilizar soluciones de seguridad robustas, mantener los sistemas operativos y aplicaciones actualizados, y ser cautelosos al descargar software de fuentes no verificadas.



