Kaspersky descubrió un nuevo framework de malware que ataca a inversores de criptomonedas, según un informe del miércoles. Bautizado como OkoBot, el malware inicia cadenas de infección mediante tácticas de ingeniería social como ClickFix y aplicaciones de GitHub con troyanos que entregan puertas traseras a los dispositivos infectados. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware evolucionó a partir de TookPS, una campaña identificada por primera vez en 2025 que distribuía un descargador troyano a través de sitios web de software falsos. Por separado, SlowMist informó el sábado que una campaña de malware está atacando a desarrolladores Web3 mediante ofertas de reclutamiento falsas en LinkedIn, entregando troyanos de acceso remoto a través de repositorios maliciosos de GitHub presentados como materiales de entrevistas técnicas.
El framework OkoBot roba archivos de billeteras mediante una arquitectura de túnel SSH
El malware OkoBot puede recolectar archivos de billeteras cripto, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billetera para robar activos, escribió Kaspersky en el informe. El framework se diferencia de campañas anteriores al orquestar los 20 payloads maliciosos mediante un túnel SSH, lo que permite el transporte remoto de datos desde ordenadores infectados a máquinas remotas controladas por los atacantes. Kaspersky añadió que el framework del malware abre la puerta a ataques de “copiadores”.
Reclutadores falsos de LinkedIn entregan troyanos a través de repositorios de GitHub
Los atacantes contactan a desarrolladores de blockchain a través de LinkedIn, haciéndose pasar por reclutadores Web3, según SlowMist. Envían a las víctimas repositorios falsos de GitHub, afirmando que contenían el producto mínimo viable que debía probarse antes de la entrevista, dijo la empresa de seguridad de blockchain en un informe del sábado. El flujo de trabajo se parece mucho a una entrevista técnica legítima, en la que los desarrolladores extraen código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque. El malware pretende entregar un troyano completo de acceso remoto que infecta dispositivos, lo que permite a los atacantes robar claves del proyecto, credenciales de la nube o datos de extensiones de billetera de estos desarrolladores.
SlowMist vincula el ataque a una campaña más amplia orientada a desarrolladores
SlowMist escribió que este ataque no es un caso aislado, y añadió que incidentes recientes muestran que los atacantes están aprovechando cada vez más escenarios como reclutamiento, revisiones de código y colaboraciones de proyectos para engañar a los desarrolladores y hacer que ejecuten activamente repositorios maliciosos. El informe llegó un día después de que SlowMist advirtiera sobre una campaña de malware separada que atacaba a usuarios de macOS, con el objetivo de robar sus credenciales y secuestrar sus sesiones de Telegram para, en última instancia, engañar a inversores a introducir sus frases de recuperación de billetera mediante sitios web falsos.
Preguntas frecuentes
¿Qué es el malware OkoBot y cuándo se identificó?
OkoBot es un framework de malware dirigido a inversores de criptomonedas que Kaspersky descubrió en un informe del miércoles. Kaspersky identificó múltiples ataques que involucran esta familia de malware desde enero de 2026. El malware inicia cadenas de infección mediante tácticas de ingeniería social como ClickFix y aplicaciones de GitHub con troyanos.
¿Cómo la campaña de reclutamiento falsa en LinkedIn ataca a desarrolladores Web3?
Los atacantes contactan a desarrolladores de blockchain a través de LinkedIn, haciéndose pasar por reclutadores Web3, según el informe del sábado de SlowMist. Envían a las víctimas repositorios falsos de GitHub, afirmando que contenían el producto mínimo viable que debía probarse antes de la entrevista. El flujo de trabajo se parece a una entrevista técnica legítima, lo que dificulta notar el ataque.
¿Qué datos roba el malware OkoBot de dispositivos infectados?
El malware OkoBot puede recolectar archivos de billeteras cripto, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billetera para robar activos, según Kaspersky. El framework orquesta los 20 payloads maliciosos mediante un túnel SSH, lo que permite el transporte remoto de datos desde ordenadores infectados a máquinas controladas por los atacantes.