Kaspersky descubrió un nuevo framework de malware que ataca a inversores de criptomonedas, según un informe del miércoles. Bautizado como OkoBot, el malware inicia cadenas de infección mediante tácticas de ingeniería social como ClickFix y aplicaciones de GitHub con troyanos que entregan puertas traseras a los dispositivos infectados. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware evolucionó a partir de TookPS, una campaña identificada por primera vez en 2025 que distribuía un descargador troyano a través de sitios web de software falsos. Por separado, SlowMist informó el sábado que una campaña de malware está atacando a desarrolladores Web3 mediante ofertas de reclutamiento falsas en LinkedIn, entregando troyanos de acceso remoto a través de repositorios maliciosos de GitHub presentados como materiales de entrevistas técnicas.
El malware OkoBot puede recolectar archivos de billeteras cripto, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billetera para robar activos, escribió Kaspersky en el informe. El framework se diferencia de campañas anteriores al orquestar los 20 payloads maliciosos mediante un túnel SSH, lo que permite el transporte remoto de datos desde ordenadores infectados a máquinas remotas controladas por los atacantes. Kaspersky añadió que el framework del malware abre la puerta a ataques de “copiadores”.
Los atacantes contactan a desarrolladores de blockchain a través de LinkedIn, haciéndose pasar por reclutadores Web3, según SlowMist. Envían a las víctimas repositorios falsos de GitHub, afirmando que contenían el producto mínimo viable que debía probarse antes de la entrevista, dijo la empresa de seguridad de blockchain en un informe del sábado. El flujo de trabajo se parece mucho a una entrevista técnica legítima, en la que los desarrolladores extraen código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque. El malware pretende entregar un troyano completo de acceso remoto que infecta dispositivos, lo que permite a los atacantes robar claves del proyecto, credenciales de la nube o datos de extensiones de billetera de estos desarrolladores.
SlowMist escribió que este ataque no es un caso aislado, y añadió que incidentes recientes muestran que los atacantes están aprovechando cada vez más escenarios como reclutamiento, revisiones de código y colaboraciones de proyectos para engañar a los desarrolladores y hacer que ejecuten activamente repositorios maliciosos. El informe llegó un día después de que SlowMist advirtiera sobre una campaña de malware separada que atacaba a usuarios de macOS, con el objetivo de robar sus credenciales y secuestrar sus sesiones de Telegram para, en última instancia, engañar a inversores a introducir sus frases de recuperación de billetera mediante sitios web falsos.
¿Qué es el malware OkoBot y cuándo se identificó?
OkoBot es un framework de malware dirigido a inversores de criptomonedas que Kaspersky descubrió en un informe del miércoles. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware inicia cadenas de infección mediante tácticas de ingeniería social como ClickFix y aplicaciones de GitHub con troyanos.
¿Cómo la campaña de reclutamiento falsa en LinkedIn ataca a desarrolladores Web3?
Los atacantes contactan a desarrolladores de blockchain a través de LinkedIn, haciéndose pasar por reclutadores Web3, según el informe del sábado de SlowMist. Envían a las víctimas repositorios falsos de GitHub, afirmando que contenían el producto mínimo viable que debía probarse antes de la entrevista. El flujo de trabajo se parece a una entrevista técnica legítima, lo que dificulta notar el ataque.
¿Qué datos roba el malware OkoBot de dispositivos infectados?
El malware OkoBot puede recolectar archivos de billeteras cripto, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billetera para robar activos, según Kaspersky. El framework orquesta los 20 payloads maliciosos mediante un túnel SSH, lo que permite el transporte remoto de datos desde ordenadores infectados a máquinas controladas por los atacantes.
Noticias relacionadas
Kaspersky descubre el framework de malware OkoBot dirigido a inversores de criptomonedas
Consensys contrata a un desarrollador vinculado a Corea del Norte durante un mes
El malware para macOS secuestra sesiones de Telegram y ataca carteras de criptomonedas
Enso expone “pools tóxicos” que falsifican cotizaciones DeFi en Ethereum y Polygon
Stefan Thomas tiene 2 intentos restantes para desbloquear 7,002 bitcoins en una unidad IronKey