De acordo com a Bits.media, pesquisadores de segurança da Kaspersky descobriram o malware OkoBot, que está ativo há mais de um ano e usa aproximadamente 20 módulos para roubar frases-semente e credenciais de carteiras de criptomoedas. Os atacantes usam técnicas de engenharia social ClickFix para convencer os usuários a executarem comandos maliciosos e distribuem o malware por meio de repositórios do GitHub disfarçados de ferramentas legítimas, como o SQL Server Management Studio. Entre os principais módulos está o SeedHunter, que injeta carteiras de hardware como Trezor e Ledger e exibe interfaces falsas de recuperação; o MC Keylogger, que registra a atividade do teclado e da área de transferência; e o OkoSpyware, que rastreia senhas de carteiras e grava vídeo da janela. Assim que os atacantes obtêm as frases-semente, passam a ter controle total sobre os ativos cripto das vítimas.
A maioria das vítimas está distribuída entre Brasil, Vietnã, Canadá, México e Turquia. Os atacantes implementaram bloqueios geográficos contra endereços IP na Rússia e em países da Comunidade de Estados Independentes.