OkoBot: Malware amenaza a usuarios de Ledger y Trezor con phishing
Publicado el
OkoBot y su amenaza a wallets de criptomonedas
Un nuevo framework de malware conocido como OkoBot ha estado operativo en máquinas con Windows desde abril de 2025. Este software malicioso tiene como objetivo principal engañar a los propietarios de wallets hardware para que revelen su frase de recuperación. La técnica utilizada es especialmente insidiosa, ya que la solicitud de la frase se genera desde el propio software de escritorio de la wallet infectada.
Funcionamiento de OkoBot
Cuando un dispositivo está infectado, OkoBot espera a que el usuario conecte su wallet. La página maliciosa se presenta como una parte legítima de la aplicación original instalada, lo que engaña al usuario para que introduzca su frase de recuperación. Kaspersky, a través de su equipo GReAT, ha informado que han detectado cientos de víctimas en más de 25 países, siendo Brasil, Vietnam, Canadá, México y Turquía los más afectados.
Uno de los módulos del framework, denominado SeedHunter, es el encargado de robar esta información sensible. Este módulo monitorea aplicaciones como Trezor Suite, Ledger Wallet y Ledger Live, inyectándose en ellas para capturar la frase de recuperación al realizar la solicitud.
Análisis técnico
Una vez que OkoBot se instala, SeedHunter se comunica con un servidor C2 en moonsand[.]store. Si el servidor activa un flag de espera, SeedHunter escanea los dispositivos USB y espera a que se conecte un Ledger o Trezor verdadero. Solo en ese momento se muestra una página de recuperación codificada, específica para cada marca. Si el flag está desactivado, la página se presenta de inmediato.
Los datos introducidos por el usuario son enviados a un console malicioso que los recoge y los envía en formato JSON, dejando una copia en un archivo temporal. Es importante destacar que el hardware wallet no es vulnerado; simplemente sigue operando como se espera, negándose a entregar la clave, mientras que el software complementario induce al usuario a entregar la frase de recuperación.
Métodos de infección
OkoBot utiliza principalmente dos vías para infectar a los usuarios: a través de un engaño de ClickFix y mediante software trojanizado disponible en GitHub. Kaspersky identificó un repositorio que prometía ser SQL Server Management Studio, pero que en realidad contenía una versión de Audacity con un implante malicioso. Este engaño estuvo activo desde finales de marzo de 2025 hasta junio del mismo año.
Ambos métodos resultan en la ejecución de TookPS, un downloader de PowerShell que ha estado en circulación desde marzo de 2025. Este downloader se conecta a un servidor controlado por atacantes, permitiendo el acceso remoto y la extracción de información sensible, como archivos de wallets, cookies y perfiles de navegador.
Implicaciones de seguridad
Los módulos de OkoBot han demostrado ser particularmente invasivos, permitiendo a los atacantes establecer túneles de acceso remoto y ejecutar comandos en las máquinas infectadas. Además, el malware incluye capacidades de surveillance, como grabar ventanas activas y registrar pulsaciones de teclas. En este sentido, se han encontrado herramientas como OkoSpyware y MC Keylogger que complementan las funciones de SeedHunter.
Kaspersky ha decidido no atribuir esta campaña a un actor criminal conocido, aunque han identificado ciertas señales que podrían sugerir vínculos con foros de habla rusa. Sin embargo, no existe un CVE específico ni parches disponibles que cierren esta ruta de ataque.
Conclusiones
La amenaza presentada por OkoBot resalta la importancia de la seguridad en el uso de wallets de criptomonedas. Los usuarios deben ser cautelosos y estar atentos a posibles intentos de phishing, así como a la necesidad de mantener sus dispositivos seguros y actualizados para evitar caer en estas trampas maliciosas.