
Un marco de malware llamado OkoBot se ejecuta en máquinas con Windows desde abril de 2025, y uno de sus módulos fue creado para engañar a los propietarios de billeteras de hardware para que extraigan sus frases de recuperación.
En una PC infectada, la solicitud se envía desde el software de escritorio de la billetera. En algunos casos, es posible que tengas que esperar hasta conectar tu dispositivo por primera vez. Esta página es maliciosa. Las aplicaciones que lo rodean son las aplicaciones reales que ha instalado y la frase es su billetera.
El equipo GReAT de Kaspersky publicó sus resultados de desmontaje el miércoles, contando cientos de víctimas con telemetría que abarca más de 25 países. El mayor porcentaje de usuarios atacados se encuentra en Brasil, Vietnam, Canadá, México y Turkiye.
El informe no dice cuántas personas ingresaron la frase. OkoBot llevaba más de 20 cargas útiles e implantes y todavía estaba activo en el informe del 15 de julio.
SeedHunter espera el dispositivo
SeedHunter es un módulo de OkoBot que roba frases. Cuando llega el marco, monitorea Trezor Suite, Ledger Wallet y Ledger Live e inyecta lo que encuentra para conectarlo a los componentes internos de Electron de su aplicación. A continuación, consulte el C2 de la tienda moonsand(.).
Cuando el servidor establece la bandera de espera, SeedHunter escanea el USB en busca de ID de proveedor y producto y permanece estacionario hasta que se conecta un Ledger o Trezor real. Luego se dibuja una página de recuperación codificada con un diseño por marca. Si desactiva la bandera, la página se mostrará inmediatamente. La frase ingresada va a la propia consola de la página detrás del marcador @:app:print y el mal_LogConsoleMessage enganchado la recoge. Esto permanece como JSON y se coloca una copia RC4 en un archivo temporal.
Las carteras de hardware no son indestructibles. Hace lo único para lo que fue creado: negarse a entregar la clave, pero no impide que el software que lo acompaña solicite la frase.
Ni siquiera la mitad de este truco es nuevo. Moonlock Lab rastreó a los ladrones de macOS que ejecutaban versiones intercambiadas y THN cubrió estas aplicaciones clonadas de Ledger Live. AMOS eliminó Ledger Live y lanzó un clon troyanizado en /Applications que pedía 24 palabras.

GlassWorm ejecutó un disparador USB en Windows en marzo, usó WMI para detectar dispositivos comprometidos y mostró su propia ventana después de cerrar la aplicación real. Lo que cambia SeedHunter es dónde se dibuja la página. Deje la aplicación ejecutándose y dibuje dentro de la aplicación.
SSMS que en realidad era Audacity
Hay dos vectores de entrada principales: señuelos ClickFix y software troyanizado en GitHub. Un repositorio desmantelado de SQL Server Management Studio promovido por Kaspersky. Lo que se envió fue Audacity, un editor de audio que había sido reconstruido con un implante malicioso en una de sus bibliotecas. Clasificado primero en SSMS. Vivió desde finales de marzo hasta junio de 2025.
Ambas rutas ejecutan TookPS, un descargador de PowerShell. Se trata de un descargador de PowerShell que Kaspersky Lab ha estado rastreando desde marzo de 2025, visitando una página falsa de DeepSeek y luego un sitio falso de descarga de software empresarial. Instale SSH, marque un servidor controlado por un atacante, reenvíe el puerto del demonio SSH local y escuche. Luego, el bot SSH automatizado se vuelve a conectar a través del túnel.
El bot inventaria la caja hasta el AV instalado y arrastra archivos de billetera, cookies, perfiles de navegador y credenciales a través del túnel. Silencia las notificaciones de Defender escribiendo en el registro y crea su propio escritorio.
Abra el firewall para RDP entrante Agregue la cuenta al grupo Usuarios de escritorio remoto Reemplace termrv.dll con una compilación parcheada que permita sesiones RDP simultáneas Registre una tarea programada llamada Apple Sync que reconstruya el túnel SSH inverso para el puerto RDP local cada hora
Luego, el módulo llega a través de SFTP. Un iniciador con VMProtect llamado HDUtil los ejecuta y puede elevarlos silenciosamente a través de Windows RPC UAC Bypass, que fue documentado por Project Zero en 2019.
La última distribución es Volumen2. Esta es una utilidad de código abierto que incluye un protobuf.dll malicioso que descifra y lanza la carga útil real. El despachador de complementos sondea el C2 cada 20 segundos. Kaspersky ha retirado del mercado cinco complementos. Uno es el inyector de proceso, que presenta SeedHunter.
El resto del kit está monitoreando. OkoSpyware monitorea más de 100 ejecutables, entre ellos Exodus y 1Password. Grabe ventanas coincidentes en MP4 utilizando FFmpeg incluido y registre las pulsaciones de teclas.
La pestaña MetaMask o Tonkeeper se registra porque el título del navegador coincide con la expresión regular. MC Keylogger cubre dispositivos de entrada, portapapeles y USB y toma capturas de pantalla cada 5 minutos. El cargador instala extensiones ocultas de Chromium utilizando todos los permisos otorgados. Se instaló con Rilide, un ladrón de Chromium utilizado por atacantes de habla rusa desde abril de 2023.
¿De quién es el marco?
Kaspersky Lab no revelará el nombre del atacante porque «esta campaña maliciosa no puede atribuirse a un atacante de crimeware conocido». El servidor que aloja el PowerShell de la primera etapa devuelve respuestas vacías a las IP rusas y de la CEI. Rilide se mudará a un foro de habla rusa al que solo se puede acceder mediante invitación.
La página de phishing de SeedHunter contiene comentarios en ruso. Estas son señales suaves y se tratan como tales en los informes.
No hay CVE de billetera ni parches de proveedores que cierren esta ruta. En lugar de eso, llegas a un punto final y el artefacto es lo suficientemente específico como para cazarlo.
La tarea programada denominada Apple Sync %PROGRAMDATA%\hwid.dat, %PROGRAMDATA%\HDVideo\HDUtil.exe, %USERPROFILE%\.ssh\go.bat termrv.dll se ha modificado desde la compilación de fábrica. Cuentas para usuarios de escritorio remoto que nadie ha agregado SSH saliente desde los puntos finales del usuario Extensiones en la configuración de extensiones locales no visibles en la lista de extensiones del navegador
Las publicaciones de Kaspersky incluyen hashes y dominios C2. Los proveedores ponen límites a los dispositivos. Ledger dice que esta frase nunca se usa fuera del propio Ledger.
Trezor Suite dice que nunca le pedirá una copia de seguridad, pero la recuperación estándar del Model One solo ingresará las palabras Suite si el dispositivo lo solicita. La página que aparece porque lo has conectado, sin que se muestre nada en la pantalla del dispositivo detrás de ella, es una señal.
Luego será reconstruido en marzo de 2026. TeviRAT ya no existe. HDUtil para extl a la cadena Rilide ha quedado obsoleto y se ha incorporado en un único complemento de despachador que hace el mismo trabajo. Volume2 ahora está disponible directamente desde TookPS. Nadie elimina un código base que está a punto de desaparecer.
Source link
