
Un nuovo e sofisticato framework dannoso impiega TookPS per sottrarre le frasi seed e utilizza un nuovo modulo OkoSpyware per monitorare i browser basati su Chromium e distribuire diverse varianti di malware, tra cui lo stealer Rilide. Il framework ha già colpito centinaia di vittime in oltre 25 Paesi, con il maggior numero di utenti compromessi registrato in Brasile, Vietnam, Canada, Messico e Turchia. Secondo gli esperti di Kaspersky, la minaccia è ancora attiva e rappresenta un rischio soprattutto per gli utenti di criptovalute.
Nel gennaio 2026, gli esperti del Kaspersky Global Research and Analysis Team (GReAT) hanno individuato diversi attacchi che coinvolgevano un malware finora sconosciuto, in grado di acquisire il contenuto delle finestre dei portafogli di criptovalute. Soprannominato OkoBot, questo nuovo e sofisticato framework malware comprende oltre 20 payload e implant dannosi progettati per svolgere un’ampia gamma di funzioni, tra cui la raccolta di file locali, l’esecuzione di comandi remoti, il download di estensioni arbitrarie del browser, il furto di portafogli di criptovalute, l’acquisizione di frasi seed e credenziali, la registrazione di video e altre attività dannose. Tra i nuovi implant utilizzati nella campagna figura un loader che modifica la memoria del browser per caricare e nascondere estensioni dannose. OkoBot include inoltre un nuovo modulo, OkoSpyware, in grado di registrare i tasti digitati e il flusso video della finestra di un’applicazione bersaglio.
Le informazioni attualmente disponibili non consentono di attribuire la campagna con un elevato grado di certezza ad alcun autore di crimeware noto. Tuttavia, le tecniche e l’infostealer utilizzati sono ampiamente impiegati da autori di minacce di lingua russa e l’analisi tecnica ha inoltre rivelato la presenza di elementi di codice in russo.
L’infezione iniziale avviene generalmente attraverso due vettori principali: gli attacchi ClickFix, nei quali gli autori delle minacce ricorrono al social engineering per indurre gli utenti a eseguire codice dannoso, e malware distribuiti tramite GitHub sotto le spoglie di software legittimo. Nel corso dell’indagine, i ricercatori hanno individuato un caso di questo tipo che riguardava un programma di installazione contraffatto per SQL Server Management Studio (SSMS), uno strumento Microsoft ampiamente utilizzato per la gestione dei database.
Il framework dannoso include anche SeedHunter, un componente malware che monitora i processi attivi del sistema e inietta un implant in Trezor Suite, Ledger Wallet e Ledger Live, le applicazioni ufficiali utilizzate per gestire gli asset in criptovaluta. Quando rileva un portafoglio hardware Trezor o Ledger collegato, attiva funzioni di hook per visualizzare una pagina di phishing hard-coded progettata per sottrarre la frase seed dell’utente, utilizzando un layout specifico per ciascun tipo di portafoglio.

“La campagna OkoBot è attiva da oltre un anno e, a luglio 2026, era ancora in corso. I vettori di infezione osservati suggeriscono chiaramente che gli sviluppatori siano tra i suoi obiettivi principali. Particolarmente preoccupante è la continua evoluzione del malware, che indica come il framework venga mantenuto attivamente. Poiché le attività di distribuzione proseguono, la campagna ha il potenziale per raggiungere un numero sempre maggiore di utenti ed espandersi in altri Paesi nel breve termine”, ha dichiarato Dmitry Galov, Head of the Russia and CIS Unit del Kaspersky Global Research and Analysis Team.


































































