A Kaspersky descobriu uma nova estrutura de malware visando investidores de criptomoedas, segundo um relatório de quarta-feira. Apelidado de OkoBot, o malware inicia cadeias de infecção por meio de táticas de engenharia social como ClickFix e aplicativos do GitHub com trojan integrado, que entregam backdoors a dispositivos infectados. A Kaspersky identificou múltiplos ataques envolvendo essa família de malware desde janeiro de 2026. O malware evoluiu a partir de TookPS, uma campanha identificada pela primeira vez em 2025, que distribuía um downloader de trojan via sites falsos de software. Separadamente, a SlowMist informou no sábado que uma campanha de malware está mirando desenvolvedores Web3 por meio de oportunidades falsas de recrutamento no LinkedIn, entregando trojans de acesso remoto via repositórios maliciosos do GitHub disfarçados de materiais de entrevista técnica.
A estrutura OkoBot colhe arquivos de carteira via arquitetura de túnel SSH
O malware OkoBot pode coletar arquivos de carteiras cripto, dados do navegador e credenciais do usuário, injetar extensões maliciosas e capturar janelas de aplicativos de carteira para roubar ativos, escreveu a Kaspersky no relatório. A estrutura difere de campanhas anteriores ao orquestrar todos os 20 payloads maliciosos via um túnel SSH, o que permite o transporte remoto de dados de computadores infectados para máquinas remotas controladas por atacantes. A Kaspersky acrescentou que a estrutura de malware abre espaço para ataques de cópia.
Falsos recrutadores do LinkedIn entregam trojans via repositórios do GitHub
Atacantes abordam desenvolvedores de blockchain via LinkedIn, se passando por recrutadores Web3, segundo a SlowMist. Eles enviam repositórios falsos do GitHub às vítimas, alegando que continham o produto mínimo viável que precisava ser testado antes da entrevista, disse a empresa de segurança de blockchain em um relatório de sábado. O fluxo de trabalho se assemelha de perto a uma entrevista técnica legítima, na qual desenvolvedores puxam código, instalam dependências e iniciam um projeto, o que dificulta perceber o ataque. O malware busca entregar um trojan completo de acesso remoto que infecta dispositivos, permitindo que os atacantes roubem chaves do projeto, credenciais de nuvem ou dados de extensão de carteira desses desenvolvedores.
SlowMist liga o ataque a uma campanha mais ampla que mira desenvolvedores
A SlowMist escreveu que este ataque não é um caso isolado, acrescentando que incidentes recentes mostram que atacantes estão cada vez mais usando cenários como recrutamento, revisões de código e colaborações de projeto para enganar desenvolvedores a executarem repositórios maliciosos ativamente. O relatório foi publicado um dia depois de a SlowMist alertar sobre uma campanha de malware separada mirando usuários de macOS, com o objetivo de roubar credenciais e sequestrar as sessões do Telegram para, em última instância, fazer investidores inserirem suas frases de recuperação de carteira por meio de sites falsos.
FAQ
O que é o malware OkoBot e quando foi identificado?
O OkoBot é uma estrutura de malware que mira investidores de criptomoedas e foi descoberta pela Kaspersky em um relatório de quarta-feira. A Kaspersky identificou múltiplos ataques envolvendo essa família de malware desde janeiro de 2026. O malware inicia cadeias de infecção por meio de táticas de engenharia social como ClickFix e aplicativos do GitHub com trojan integrado.
Como a campanha falsa de recrutamento no LinkedIn mira desenvolvedores Web3?
Atacantes abordam desenvolvedores de blockchain via LinkedIn, se passando por recrutadores Web3, segundo o relatório de sábado da SlowMist. Eles enviam repositórios falsos do GitHub às vítimas, alegando que continham o produto mínimo viável que precisava ser testado antes da entrevista. O fluxo de trabalho se assemelha a uma entrevista técnica legítima, dificultando perceber o ataque.
Que dados o malware OkoBot rouba de dispositivos infectados?
O malware OkoBot pode coletar arquivos de carteiras cripto, dados do navegador e credenciais do usuário, injetar extensões maliciosas e capturar janelas de aplicativos de carteira para roubar ativos, segundo a Kaspersky. A estrutura orquestra todos os 20 payloads maliciosos via um túnel SSH, permitindo o transporte remoto de dados de computadores infectados para máquinas controladas por atacantes.