Kaspersky ha descubierto un nuevo marco (framework) de malware dirigido a inversores en criptomonedas.

Bautizado como “OkoBot”, el malware inicia una cadena de infección que comienza con tácticas de ingeniería social como ClickFix, que engaña a los usuarios para que ejecuten comandos maliciosos, o aplicaciones de GitHub modificadas (trojanizadas) que entregan una puerta trasera a los dispositivos infectados, escribió la empresa de ciberseguridad en un informe del miércoles.

El malware puede recopilar archivos de billeteras de criptomonedas, datos del navegador y credenciales de usuario, inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras para robar activos. Kaspersky dijo que identificó múltiples ataques que involucran esta familia de malware desde enero de 2026.

Kaspersky añadió que el marco del malware evolucionó a partir de “TookPS”, una campaña de malware identificada por primera vez en 2025 que distribuía un descargador de troyanos a través de sitios web falsos de software, y que abre la puerta a ataques de imitadores.

Difiere de las campañas anteriores al orquestar las 20 cargas maliciosas a través de un túnel SSH, lo que permite la transferencia remota de datos desde ordenadores infectados a máquinas remotas controladas por los atacantes.

Cadena de infección original de OkoBot. Fuente: Kaspersky

Campañas fraudulentas de reclutamiento en LinkedIn se dirigen a desarrolladores de Web3 con malware

Por separado, una nueva campaña de malware busca infiltrarse en los dispositivos de desarrolladores de Web3 mediante oportunidades falsas de reclutamiento en LinkedIn, según SlowMist.

Los atacantes contactan a desarrolladores de blockchain a través de LinkedIn, haciéndose pasar por reclutadores de Web3. Luego envían a las víctimas repositorios falsos de GitHub, afirmando que contenían el producto mínimo viable que necesitaba probarse antes de la entrevista, dijo la empresa de seguridad de blockchain en un informe del sábado.

El flujo de trabajo se parece de cerca a una entrevista técnica legítima, en la que los desarrolladores obtienen código, instalan dependencias y lanzan un proyecto, lo que dificulta detectar el ataque, según SlowMist.

El malware tiene como objetivo entregar un completo “troyano de acceso remoto” que infecta dispositivos, permitiendo a los atacantes robar claves de proyecto, credenciales de la nube o datos de la extensión de la wallet de estos desarrolladores.

“Este ataque no es un caso aislado”, escribió SlowMist, añadiendo que los incidentes recientes ilustran que “los atacantes están aprovechando cada vez más escenarios como la captación, las revisiones de código y las colaboraciones en proyectos para engañar a los desarrolladores y hacer que ejecuten activamente repositorios maliciosos.”

El informe llegó un día después de que SlowMist advirtiera sobre una campaña de malware separada dirigida a usuarios de macOS, con el objetivo de robar sus credenciales y secuestrar sus sesiones de Telegram para, en última instancia, engañar a los inversores a introducir sus frases de recuperación de la wallet mediante sitios web falsos.

Revista: ¿El fracaso de Botanix demuestra que a los bitcoiner no les importa DeFi?