A Kaspersky descobre a framework de malware OkoBot, que visa carteiras de criptomoedas

A Kaspersky descobriu uma nova estrutura de malware que visa investidores em criptomoedas, segundo um relatório de quarta-feira. Apelidado de OkoBot, o malware inicia cadeias de infeção através de táticas de engenharia social como ClickFix e de aplicações do GitHub adulteradas com trojans que entregam backdoors aos dispositivos infetados. A Kaspersky identificou múltiplos ataques que envolvem esta família de malware desde janeiro de 2026. O malware evoluiu a partir de TookPS, uma campanha identificada pela primeira vez em 2025, que distribuía um downloader com Trojan através de websites falsos de software. Em separado, a SlowMist reportou no sábado que uma campanha de malware está a visar programadores Web3 através de falsas oportunidades de recrutamento no LinkedIn, entregando trojans de acesso remoto via repositórios maliciosos do GitHub apresentados como materiais de entrevistas técnicas.

OkoBot Framework Harvests Wallet Files Through SSH Tunnel Architecture

O malware OkoBot pode recolher ficheiros de carteiras cripto, dados do browser e credenciais de utilizadores, injetar extensões maliciosas e capturar janelas de aplicações de carteiras para roubar ativos, escreveu a Kaspersky no relatório. A estrutura difere de campanhas anteriores ao orquestrar todas as 20 cargas úteis maliciosas através de um túnel SSH, o que permite o transporte remoto de dados de computadores infetados para máquinas remotas controladas por atacantes. A Kaspersky acrescentou que a estrutura do malware abre caminho para ataques de cópia.

Fake LinkedIn Recruiters Deliver Trojans via GitHub Repositories

Os atacantes contactam programadores de blockchain via LinkedIn, apresentando-se como recrutadores Web3, segundo a SlowMist. Enviam repositórios falsos do GitHub às vítimas, afirmando que continham o produto mínimo viável que precisava de ser testado antes da entrevista, disse a empresa de segurança de blockchain num relatório de sábado. O fluxo de trabalho assemelha-se de perto a uma entrevista técnica legítima em que os programadores puxam código, instalam dependências e lançam um projeto, o que dificulta detetar o ataque. O malware tem como objetivo entregar um trojan completo de acesso remoto que infeta dispositivos, permitindo aos atacantes roubar chaves do projeto, credenciais de cloud ou dados da extensão da carteira a partir destes programadores.

SlowMist Links Attack to Broader Developer-Targeting Campaign

A SlowMist escreveu que este ataque não é um caso isolado, acrescentando que incidentes recentes mostram que os atacantes estão a aproveitar cada vez mais cenários como recrutamento, code reviews e colaborações de projetos para enganar programadores a executarem ativamente repositórios maliciosos. O relatório surgiu um dia depois de a SlowMist ter alertado para uma campanha de malware separada que visava utilizadores de macOS, com o objetivo de roubar credenciais e sequestrar as sessões do Telegram para, no fim, levar investidores a introduzirem as suas frases de recuperação da carteira através de websites falsos.

FAQ

O que é o malware OkoBot e quando foi identificado? O OkoBot é uma estrutura de malware que visa investidores em criptomoedas e que a Kaspersky descobriu num relatório de quarta-feira. A Kaspersky identificou múltiplos ataques que envolvem esta família de malware desde janeiro de 2026. O malware inicia cadeias de infeção através de táticas de engenharia social como ClickFix e aplicações do GitHub adulteradas com trojans.

Como é que a campanha de recrutamento falso no LinkedIn mira programadores Web3? Os atacantes contactam programadores de blockchain via LinkedIn, apresentando-se como recrutadores Web3, segundo o relatório de sábado da SlowMist. Enviam repositórios falsos do GitHub às vítimas, afirmando que continham o produto mínimo viável que precisava de ser testado antes da entrevista. O fluxo de trabalho assemelha-se a uma entrevista técnica legítima, tornando difícil detetar o ataque.

Que dados é que o malware OkoBot rouba de dispositivos infetados? O malware OkoBot pode recolher ficheiros de carteiras cripto, dados do browser e credenciais de utilizadores, injetar extensões maliciosas e capturar janelas de aplicações de carteiras para roubar ativos, segundo a Kaspersky. A estrutura orquestra todas as 20 cargas úteis maliciosas através de um túnel SSH, permitindo o transporte remoto de dados de computadores infetados para máquinas controladas por atacantes.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário