Según Bits.media, investigadores de seguridad de Kaspersky descubrieron el malware OkoBot, que está activo desde hace más de un año y utiliza aproximadamente 20 módulos para robar frases semilla de billeteras de criptomonedas y credenciales. Los atacantes emplean técnicas de ingeniería social ClickFix para engañar a los usuarios y hacerles ejecutar comandos maliciosos, y distribuyen el malware a través de repositorios de GitHub disfrazados como herramientas legítimas, como SQL Server Management Studio. Entre los módulos clave se incluye SeedHunter, que inyecta billeteras de hardware como Trezor y Ledger y muestra interfaces de recuperación falsas; MC Keylogger, que registra la actividad del teclado y del portapapeles; y OkoSpyware, que rastrea las contraseñas de las billeteras y registra vídeo de la ventana. Una vez que los atacantes obtienen las frases semilla, logran el control total de los activos cripto de las víctimas.
La mayoría de las víctimas se distribuyen por Brasil, Vietnam, Canadá, México y Turquía. Los atacantes han implementado bloqueos geográficos para direcciones IP en Rusia y en países de la Comunidad de Estados Independientes.