Por Canuto  

El marco de malware OkoBot entró en una fase activa y ya utiliza falsas ventanas de recuperación para capturar frases semilla y drenar fondos de usuarios de criptomonedas.

***

  • OkoBot intercepta Ledger Live, Ledger Wallet y Trezor Suite para mostrar verificaciones falsas.
  • Los atacantes distribuyen el malware mediante instaladores falsos, GitHub y campañas de ingeniería social ClickFix.
  • El malware puede crear cuentas de administrador, abrir túneles SSH y ampliar sus ataques hacia nuevos países y navegadores.

 


El marco de malware OkoBot entró en una fase activa y representa un riesgo para cientos de usuarios en 25 países. La campaña apunta directamente a propietarios de criptomonedas que utilizan aplicaciones oficiales para administrar sus fondos.

Los investigadores del equipo de investigación y análisis global de Kaspersky, conocido como GReAT, advirtieron sobre la evolución de esta amenaza. Según su informe, que fue reseñado por U.Today, los atacantes modificaron por completo sus tácticas para dirigirse a personas que creían contar con una protección suficiente.

OkoBot roba fondos al interceptar funciones de Ledger Live, Ledger Wallet y Trezor Suite. Después, presenta una ventana de verificación falsa que intenta convencer a la víctima de introducir información confidencial.

El objetivo principal de esas ventanas es obtener la frase semilla de la billetera. Esa secuencia permite recuperar el acceso a los activos digitales, por lo que su exposición puede entregar a los atacantes el control sobre los fondos.

La estrategia aprovecha la confianza que muchos usuarios depositan en las aplicaciones oficiales. Una interfaz similar a la de un servicio legítimo puede reducir las sospechas, especialmente cuando aparece durante una tarea habitual de recuperación o verificación.

Para reducir el riesgo, los especialistas recomiendan no introducir una frase semilla mediante el teclado de una computadora. También aconsejan no ejecutar scripts de terceros descargados desde Internet y revisar el sistema en busca de accesos RDP ocultos.

Cómo ocurre el compromiso inicial

La campaña se dirige de manera deliberada a especialistas en tecnología de la información y desarrolladores de software. Este grupo suele trabajar con numerosas herramientas, repositorios y scripts, lo que amplía las oportunidades para ocultar un archivo malicioso entre recursos aparentemente legítimos.

Los atacantes disfrazan OkoBot como herramientas de trabajo populares. La distribución de software infectado mediante GitHub forma parte de la táctica utilizada para alcanzar a personas que buscan soluciones técnicas o aplicaciones para sus labores diarias.

Los investigadores también encontraron el malware dentro de un instalador falso de Microsoft SQL Server Management Studio, conocido como SSMS. El archivo aparenta ofrecer una herramienta reconocida, pero instala componentes capaces de mantener el control sobre el equipo.

Esta técnica explota una necesidad concreta del usuario: instalar rápidamente una herramienta de desarrollo o administración. La apariencia familiar del programa puede hacer que la víctima ignore señales de alerta relacionadas con el origen del instalador.

OkoBot también emplea ataques ClickFix, una modalidad de ingeniería social que simula un problema inesperado del navegador. La víctima recibe instrucciones para copiar y ejecutar código malicioso en una terminal con la promesa de resolver el supuesto error.

El método convierte al usuario en parte activa de la infección. En lugar de depender únicamente de una descarga automática, los delincuentes intentan persuadirlo para que ejecute instrucciones que no comprende completamente.

Una arquitectura modular con capacidades de espionaje

El marco utiliza una estructura modular compuesta por más de 20 componentes. Esa arquitectura permite combinar funciones de robo de información, vigilancia, persistencia y control remoto dentro de una misma operación.

Entre sus componentes se encuentran el infostealer Rilide y el módulo de vigilancia OkoSpyware. La presencia de ambos elementos muestra que la campaña no se limita a obtener una frase semilla, sino que busca ampliar la información disponible sobre la víctima.

El malware puede ocultar extensiones para navegadores basados en Chromium, incluidos Chrome y Edge. Una característica especialmente peligrosa es que esas extensiones pueden desaparecer de la lista visible de complementos instalados.

La víctima puede revisar el navegador y no encontrar señales evidentes de una extensión sospechosa. Sin embargo, el componente oculto puede continuar recopilando información o facilitando otras acciones dentro del sistema comprometido.

Los analistas esperan que aparezcan nuevas extensiones encubiertas con capacidades similares. La evolución de estos módulos podría permitir a los atacantes adaptar sus métodos a diferentes navegadores y perfiles de usuario.

La modularidad también facilita la actualización de la campaña. Los delincuentes pueden incorporar nuevos componentes sin modificar necesariamente toda la estructura del malware, lo que complica la detección y prolonga la vida operativa de la amenaza.

Expansión geográfica y control persistente

Brasil, Vietnam, Canadá, México y Turquía concentran actualmente el mayor número de infecciones reportadas. GReAT prevé que el alcance geográfico de los ataques se extienda más allá de esos países.

La expansión puede producirse mediante nuevas versiones de los instaladores falsos o a través de campañas de ingeniería social adaptadas a distintos idiomas y comunidades profesionales. El uso de herramientas populares ofrece a los atacantes una vía para llegar a usuarios de múltiples regiones.

La etapa final de la operación podría incluir la venta a gran escala del acceso a las computadoras comprometidas. Ese modelo transforma una infección individual en un activo que otros delincuentes pueden adquirir para realizar nuevas actividades maliciosas.

Después de establecer persistencia, OkoBot crea en secreto una nueva cuenta de administrador. Con ese privilegio, los atacantes pueden mantener una presencia más estable y ejecutar acciones que un usuario común no tendría autorización para realizar.

El malware también abre un túnel SSH permanente para facilitar el control remoto mediante RDP. Esta combinación ofrece a los operadores una ruta de acceso sostenida, incluso cuando la víctima no observa una actividad extraña en la pantalla.

El riesgo no se limita a una pérdida inmediata de criptomonedas. Un equipo bajo control remoto puede convertirse en una plataforma para robar credenciales, vigilar actividades o distribuir nuevas amenazas a otros objetivos.

Medidas básicas para proteger los activos digitales

La frase semilla debe permanecer fuera de computadoras conectadas a Internet. Ninguna solicitud inesperada dentro de una aplicación, un navegador o una terminal justifica escribirla en un teclado de PC.

Los usuarios deben descargar software únicamente desde fuentes verificadas y revisar con cuidado el dominio, el instalador y la firma del archivo. Un repositorio o una página con apariencia profesional no garantiza por sí sola que el programa sea legítimo.

Los scripts de terceros requieren una precaución adicional. Ejecutar comandos copiados desde una página desconocida puede conceder permisos amplios al atacante, especialmente cuando la instrucción se presenta como una solución rápida para un supuesto fallo técnico.

También es importante revisar las cuentas de usuario y las conexiones remotas del sistema. La aparición de una cuenta de administrador desconocida o de un acceso RDP que el usuario no configuró puede indicar una intrusión.

Las extensiones del navegador merecen una revisión periódica. Una lista aparentemente limpia no descarta todos los riesgos, porque OkoBot puede ocultar componentes basados en Chromium para evitar que la víctima los identifique.

Finalmente, los usuarios de billeteras deben desconfiar de las ventanas que solicitan frases semilla o códigos de recuperación. La protección más importante consiste en mantener esas credenciales en privado y detener la operación ante cualquier solicitud inesperada.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA.

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín