D’après Bits.media, des chercheurs en sécurité de Kaspersky ont découvert le malware OkoBot, actif depuis plus d’un an et qui utilise environ 20 modules pour dérober les phrases-seeds et les identifiants de portefeuilles de cryptomonnaie. Les attaquants ont recours à des techniques d’ingénierie sociale ClickFix pour tromper les utilisateurs et les pousser à exécuter des commandes malveillantes, ainsi qu’à distribuer le malware via des dépôts GitHub déguisés en outils légitimes tels que SQL Server Management Studio. Parmi les modules clés, on trouve SeedHunter, qui injecte des portefeuilles matériels comme Trezor et Ledger et affiche de fausses interfaces de récupération ; MC Keylogger, qui enregistre l’activité du clavier et du presse-papiers ; et OkoSpyware, qui suit les mots de passe des portefeuilles et enregistre la vidéo de la fenêtre. Une fois les phrases-seeds obtenues, les attaquants prennent le contrôle total des actifs crypto des victimes.
La plupart des victimes sont réparties entre le Brésil, le Vietnam, le Canada, le Mexique et la Turquie. Les attaquants ont mis en place des blocages géographiques contre les adresses IP en Russie et dans les pays de la Communauté des États indépendants.