- Advertisement -spot_img

OkoBot Malware Framework inyecta phishing con frases iniciales en aplicaciones Ledger y Trezor

Un marco de malware llamado OkoBot se ha estado ejecutando en máquinas con Windows desde abril de 2025, y uno de sus módulos está diseñado para estafar a los propietarios de billeteras de hardware para que no cumplan con su frase de recuperación.

En una PC infectada, la solicitud proviene del propio software de escritorio de la billetera. A veces espera hasta que conectas el dispositivo primero. La página es maliciosa. La aplicación que la rodea es la real que instalaste y la frase es la billetera.

El equipo GReAT de Kaspersky publicó el desmantelamiento el miércoles, contando cientos de víctimas en su telemetría en más de 25 países. La mayor proporción de usuarios atacados se encuentra en Brasil, Vietnam, Canadá, México y Türkiye.

¿Cuántos de ellos escribieron una frase? El informe no lo dice. OkoBot lleva más de 20 cargas útiles e implantes y todavía estaba activo en el informe del 15 de julio.

SeedHunter espera el dispositivo

cazador de semillas Es el módulo OkoBot el que se roba la frase. Una vez que el marco aterriza, busca Trezor Suite, Ledger Wallet y Ledger Live, inyecta lo que encuentra y conecta los componentes internos de Electron de la aplicación. Luego le pregunta a su C2 en moonsand(.)store.

Si el servidor establece un Wait flag, SeedHunter escanea el USB por proveedor e ID de producto y se queda quieto hasta que se conecta un Ledger o Trezor real. Solo entonces dibuja una página de recuperación codificada, un diseño por marca. Con la bandera apagada, la página aparece inmediatamente. La frase escrita va a la propia consola de la página detrás de un @:app:print marcador y el gancho mal_LogConsoleMessage lo recoge. Sale como JSON, con una copia RC4 colocada en un archivo temporal.

LEER  Cómo detener los ataques de la cadena de suministro de Python y las herramientas expertas que necesita

La billetera de hardware no es lo que se rompe. Hace aquello para lo que fue creado, que es negarse a ceder la clave, y no puede evitar que el software complementario le pida la frase.

Ninguna de las dos mitades del truco es nueva. Moonlock Lab rastreó a los ladrones de macOS que hacían la versión de intercambio, y THN cubrió esas aplicaciones clonadas de Ledger Live: AMOS eliminó Ledger Live y lanzó un clon troyanizado en /Applications exigiendo las 24 palabras.

GlassWorm activó el USB en Windows en marzo, usando WMI para detectar un dispositivo que entraba y luego abrió su propia ventana después de cerrar la aplicación real. Lo que cambia SeedHunter es dónde se dibuja la página. Deja la aplicación ejecutándose y dibuja dentro de ella.

El SSMS que en realidad era Audacity

Dos formas principales de entrada: un señuelo ClickFix y software troyanizado en GitHub. El repositorio que Kaspersky desmontó anunciaba SQL Server Management Studio. Lo que envió fue Audacity, el editor de audio, reconstruido con un implante malicioso dentro de una de sus bibliotecas. Ocupó el primer puesto en SSMS. Vivió desde finales de marzo de 2025 hasta junio.

Ambas rutas ejecutan TookPS, un descargador de PowerShell que Kaspersky ha rastreado desde marzo de 2025, cuando utilizaba páginas falsas de DeepSeek y luego sitios falsos de descarga de software empresarial. Instala SSH, marca un servidor controlado por el atacante, reenvía el puerto del demonio SSH local y espera. Más tarde, un bot SSH automatizado se conecta nuevamente a través del túnel.

El robot realiza un inventario de la caja hasta el AV instalado y luego arrastra archivos de billetera, cookies, perfiles de navegador y credenciales a través del túnel. Silencia las notificaciones de Defender con una escritura de registro y crea un escritorio:

  1. Abre el firewall para RDP entrante
  2. Agrega una cuenta al grupo de usuarios de escritorio remoto
  3. Reemplaza termsrv.dll con una compilación parcheada que permite sesiones RDP simultáneas
  4. Registra una tarea programada llamada Apple Sync que reconstruye un túnel SSH inverso para el puerto RDP local cada hora
LEER  La actualización de Android de junio de 2026 de Google corrige 124 fallas, una de ellas explotada activamente

Después de eso, los módulos llegan a través de SFTP. Un iniciador lleno de VMProtect llamado HDUtil los ejecuta y puede elevarlos silenciosamente a través de una derivación UAC RPC de Windows que Project Zero documentó en 2019.

La última entrega es Volume2, una utilidad de código abierto que lleva un malware protobuf.dll que descifra e inicia la carga útil real: un despachador de complementos que sondea su C2 cada 20 segundos. Kaspersky recuperó cinco complementos. Uno es un inyector de procesos, y eso es lo que pone en marcha a SeedHunter.

El resto del kit es de vigilancia. OkoSpyware busca más de 100 ejecutables, entre ellos Exodus y 1Password. Filma la ventana correspondiente en MP4 con un FFmpeg incluido y registra las pulsaciones de teclas en él.

Los títulos del navegador coinciden con expresiones regulares, por lo que se registra una pestaña de MetaMask o Tonkeeper. MC Keylogger cubre la entrada, el portapapeles, los dispositivos USB y toma una captura de pantalla cada cinco minutos. Un cargador instala extensiones ocultas de Chromium con todos los permisos concedidos; Rilide, un ladrón de Chromium utilizado por actores de amenazas de habla rusa desde abril de 2023, es lo que instaló.

¿De quién es el marco?

Kaspersky no nombrará a ningún actor: “no podemos atribuir esta campaña maliciosa a ningún actor de crimeware conocido”. Los servidores que alojan el PowerShell de primera etapa devuelven una respuesta vacía a las IP rusas y de la CEI. Rilide se mueve en foros de habla rusa sólo por invitación.

Las páginas de phishing de SeedHunter contienen comentarios en ruso. Se trata de señales suaves y el informe las trata como tal.

LEER  CISA agrega la falla DoS de SolarWinds Serv-U explotada activamente al catálogo KEV

No hay una billetera CVE ni un parche de proveedor que cierre esta ruta. En cambio, aterriza en el punto final y los artefactos son lo suficientemente específicos como para cazarlos:

  • Una tarea programada llamada Apple Sync
  • %PROGRAMDATA%hwid.dat, %PROGRAMDATA%HDVideoHDUtil.exe, %USERPROFILE%.sshgo.bat
  • termsrv.dll alterado de su construcción enviada
  • Cuentas en Usuarios de Escritorio Remoto que nadie agregó
  • SSH saliente desde los puntos finales de los usuarios
  • Extensiones en Local Extension Settings que nunca aparecen en la lista de extensiones del navegador

La publicación de Kaspersky tiene los hashes y los dominios C2. Los vendedores ponen el límite en el dispositivo. Ledger dice que la frase nunca va a ninguna parte excepto al propio Ledger.

Trezor Suite dice que nunca le pedirá que escriba su copia de seguridad, aunque la recuperación estándar de Model One sí toma las palabras en Suite, y solo cuando el dispositivo lo solicita. Una página que aparece porque te conectaste, sin nada en la pantalla del dispositivo detrás, es la señal.

Luego la reconstrucción de marzo de 2026. TeviRAT ya no está. El HDUtil para extl a la cadena Rilide desapareció, integrado en un único complemento de despachador que hace el mismo trabajo. Volumen 2 ahora viene directamente de TookPS. Nadie poda una base de código de la que está a punto de abandonar.

- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

El Tesoro de Estados Unidos impone sanciones a una red global...

El Departamento del Tesoro de Estados Unidos sancionó el miércoles a una red internacional de individuos y empresas en...

Noticias relacionadas

- Advertisement -spot_img