Kaspersky descubrió un nuevo framework de malware que ataca a inversores de criptomonedas en un informe del miércoles. Bautizado OkoBot, el malware inicia una cadena de infección mediante tácticas de ingeniería social como ClickFix, que engaña a los usuarios para que ejecuten comandos maliciosos, o aplicaciones de GitHub trojanizadas que entregan una puerta trasera a los dispositivos infectados. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware puede extraer archivos de billeteras cripto, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras para robar activos. El framework de malware evolucionó a partir de TookPS, una campaña de malware identificada por primera vez en 2025 que distribuía un descargador troyano mediante sitios web falsos de software.
OkoBot difiere de campañas anteriores al orquestar los 20 payloads maliciosos a través de un túnel SSH, lo que permite el transporte remoto de datos desde computadoras infectadas a máquinas remotas controladas por los atacantes. Kaspersky añadió que el framework abre la puerta a ataques de copia.
Una campaña de malware separada busca infiltrarse en los dispositivos de desarrolladores Web3 a través de oportunidades falsas de reclutamiento en LinkedIn, según SlowMist. Los atacantes contactan a desarrolladores de blockchain vía LinkedIn, haciéndose pasar por reclutadores de Web3, dijo la empresa de seguridad de blockchain en un informe del sábado. Luego envían repositorios falsos de GitHub a las víctimas, afirmando que contenían el producto mínimo viable que debía probarse antes de la entrevista.
El flujo de trabajo se parece mucho a una entrevista técnica legítima, donde los desarrolladores descargan código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque, según SlowMist. El malware pretende entregar un troyano de acceso remoto completo que infecta dispositivos, permitiendo a los atacantes robar claves del proyecto, credenciales en la nube o datos de extensiones de billeteras de estos desarrolladores.
SlowMist escribió que este ataque no es un caso aislado y añadió que incidentes recientes muestran que los atacantes están aprovechando cada vez más escenarios como reclutamiento, revisiones de código y colaboraciones de proyectos para engañar a los desarrolladores y hacer que ejecuten activamente repositorios maliciosos. El informe llegó un día después de que SlowMist advirtiera sobre una campaña de malware separada dirigida a usuarios de macOS, con el objetivo de robar sus credenciales y secuestrar sus sesiones de Telegram para, en última instancia, engañar a los inversores a introducir sus frases de recuperación de billetera a través de sitios web falsos.
¿Qué es el malware OkoBot y cuándo se descubrió?
OkoBot es un framework de malware dirigido a inversores de criptomonedas que Kaspersky descubrió en un informe del miércoles. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware inicia la infección mediante tácticas de ingeniería social como ClickFix o aplicaciones de GitHub trojanizadas y puede extraer archivos de billeteras cripto, datos del navegador, credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras.
¿Cómo atacan las campañas falsas de reclutamiento en LinkedIn a los desarrolladores Web3?
Los atacantes contactan a desarrolladores de blockchain vía LinkedIn, haciéndose pasar por reclutadores de Web3, según el informe del sábado de SlowMist. Envían repositorios falsos de GitHub a las víctimas, afirmando que contienen un producto mínimo viable que necesita probarse antes de la entrevista. El flujo de trabajo se asemeja a una entrevista técnica legítima, donde los desarrolladores descargan código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque. El malware entrega un troyano de acceso remoto que roba claves del proyecto, credenciales en la nube o datos de extensiones de billeteras.
Noticias relacionadas
Consensys contrata a un desarrollador vinculado a Corea del Norte durante un mes
El malware para macOS secuestra sesiones de Telegram y ataca carteras de criptomonedas
Enso expone “pools tóxicos” que falsifican cotizaciones DeFi en Ethereum y Polygon
Stefan Thomas tiene 2 intentos restantes para desbloquear 7,002 bitcoins en una unidad IronKey