Advertencia sobre el malware OkoBot
Los expertos del Equipo Global de Investigación y Análisis de Kaspersky (GReAT) advierten que cientos de usuarios en 25 países están en riesgo de que sus activos sean robados, ya que el peligroso marco de malware OkoBot, que apunta a propietarios de criptomonedas, ha entrado en una fase activa. Los hackers han revisado completamente sus tácticas y ahora están atacando a personas que creían estar completamente protegidas, según señalan los analistas en un nuevo informe.
Cómo opera el malware
El malware roba fondos al interceptar las funciones de las aplicaciones oficiales Ledger Live, Ledger Wallet y Trezor Suite, mostrando una ventana de verificación falsa. Para evitar caer en este truco, se aconseja a los usuarios seguir estrictamente tres reglas clave de seguridad. En esta campaña, los atacantes están apuntando deliberadamente a especialistas en TI y desarrolladores de software.
Compromisos y tácticas de los atacantes
La primera compromisión ocurre cuando los hackers disfrazan el malware como herramientas de trabajo populares y distribuyen software infectado a través de GitHub. En particular, los investigadores ya han descubierto el malware dentro de un instalador falso de Microsoft SQL Server Management Studio (SSMS). Al mismo tiempo, los atacantes están utilizando sofisticados ataques ClickFix, una técnica de ingeniería social en la que se persuade a los usuarios a copiar y ejecutar código malicioso en un terminal bajo el pretexto de solucionar un error inesperado del navegador.
Expansión del malware y sus efectos
Según Kaspersky GReAT, dado que el malware utiliza una estructura modular que consta de más de 20 componentes, incluido el infostealer Rilide y el módulo de vigilancia OkoSpyware, se espera que el alcance geográfico de los ataques se expanda más allá de los países que actualmente reportan el mayor número de infecciones, liderados por Brasil, Vietnam, Canadá, México y Turquía. También se anticipa que surjan nuevas extensiones ocultas para navegadores basados en Chromium, incluidos Chrome y Edge.
Consecuencias del ataque
El malware puede eliminar completamente estas extensiones de la lista visible de complementos instalados, dejando a los usuarios sin conocimiento de su presencia. La etapa final puede implicar la venta a gran escala de acceso a las computadoras de las víctimas. Después de establecer persistencia en un sistema, OkoBot crea secretamente una nueva cuenta de administrador y abre un túnel SSH permanente para el control remoto a través de RDP.