OkoSpyware attacca gli utenti di criptovalute
OkoSpyware attacca gli utenti di criptovalute attraverso un framework capace di rubare frasi seed, credenziali e portafogli digitali. La campagna è ancora attiva e ha già colpito centinaia di persone in oltre 25 Paesi. Tra i bersagli figurano anche gli utenti di Trezor e Ledger.
OkoSpyware: un nuovo pericolo
Una nuova minaccia informatica sta prendendo di mira chi utilizza criptovalute e portafogli hardware: il modulo si chiama OkoSpyware e fa parte di un framework più ampio, chiamato OkoBot.
Il sistema può controllare i browser basati su Chromium ed inoltre, registra i tasti digitati e ciò che appare nelle finestre aperte. Gli attacchi hanno già raggiunto oltre 25 Paesi. Il maggior numero di vittime è stato rilevato in Brasile, Vietnam, Canada, Messico e Turchia.
OkoSpyware registra tasti e finestre
OkoSpyware può osservare ciò che accade sul computer infetto: il malware registra i tasti premuti dall’utente. Quindi, può intercettare password, codici e altre informazioni riservate.
Inoltre, può acquisire il flusso video di una finestra precisa: questa tecnica permette di controllare applicazioni legate ai wallet.
Il framework può anche raccogliere file locali. Allo stesso tempo, esegue comandi remoti e scarica estensioni del browser.
OkoBot comprende più di 20 payload e componenti dannosi. Ogni modulo svolge un compito diverso durante l’attacco: tra questi compare anche Rilide, un infostealer progettato per rubare informazioni attraverso il browser.
Il vero obiettivo sono le frasi seed
Le frasi seed sono uno dei bersagli principali della campagna: si tratta di una sequenza di parole usata per recuperare l’accesso a un portafoglio di criptovalute.
Chi ottiene questa frase può tentare di ricostruire il wallet su un altro dispositivo, di conseguenza, può trasferire gli asset senza conoscere la password normale.
OkoBot utilizza TookPS per acquisire queste informazioni. Inoltre, integra SeedHunter, un modulo dedicato ai portafogli hardware. SeedHunter controlla i processi attivi sul computer, poi cerca applicazioni come Trezor Suite, Ledger Wallet e Ledger Live.
Quando rileva un dispositivo collegato, il malware modifica il comportamento dell’applicazione.
OkoSpyware mostra false pagine Trezor e Ledger
L’attacco diventa particolarmente pericoloso quando l’utente collega un wallet Trezor o Ledger: SeedHunter può mostrare una pagina di phishing costruita per imitare l’interfaccia ufficiale del portafoglio.
La schermata chiede di inserire la frase di recupero ed inoltre, cambia aspetto in base al dispositivo rilevato.
La vittima pensa quindi di completare una normale procedura di sicurezza: in realtà, le parole inserite vengono inviate agli autori dell’attacco.
Le immagini individuate durante l’analisi mostrano pagine differenti per Ledger e Trezor. Entrambe chiedono l’intera frase seed.
Un vero servizio di assistenza non dovrebbe chiedere queste parole attraverso una finestra comparsa sul computer.
L’infezione parte da ClickFix e GitHub
La campagna utilizza due principali sistemi di distribuzione. Il primo è ClickFix, una tecnica di ingegneria sociale: l’utente riceve istruzioni che sembrano utili per risolvere un problema. In realtà, quelle istruzioni fanno eseguire codice dannoso sul computer.
Spesso la vittima copia un comando e lo incolla nel terminale. Quindi, avvia direttamente l’infezione senza rendersene conto.
Il secondo canale riguarda GitHub. I criminali pubblicano file dannosi presentandoli come programmi legittimi.
Durante l’indagine è stato trovato anche un falso programma di installazione per SQL Server Management Studio.
La scelta non sembra casuale. Infatti, uno strumento simile può attirare sviluppatori, amministratori e professionisti con accesso a dati sensibili.
OkoSpyware può nascondersi nel browser
OkoBot utilizza anche un loader capace di modificare la memoria del browser: questo componente carica estensioni dannose e prova a nasconderle all’utente.
Di conseguenza, il browser può continuare a sembrare normale. Intanto, però, l’estensione controlla pagine, credenziali e attività online. I browser basati su Chromium sono tra i principali bersagli: la famiglia comprende numerosi programmi usati ogni giorno.
La campagna può inoltre distribuire vari tipi di malware, quindi, l’infezione non segue sempre lo stesso percorso.
Questo approccio rende più difficile individuare un comportamento unico e riconoscibile.
Una campagna ancora attiva
OkoBot sarebbe operativo da oltre un anno. A luglio 2026, la distribuzione risultava ancora in corso, inoltre, il framework continua a ricevere modifiche. Questo indica una manutenzione attiva da parte degli sviluppatori.
Gli elementi disponibili non permettono di attribuire l’operazione a un gruppo preciso.
Alcune tecniche sono comuni tra autori di minacce di lingua russa. Nel codice sono stati trovati anche elementi scritti in russo: questi indizi, però, non bastano per identificare con certezza i responsabili.
La campagna potrebbe quindi raggiungere altri utenti e nuovi Paesi. Il rischio resta alto soprattutto per chi gestisce criptovalute dal computer.
Come proteggere wallet e criptovalute
La prima regola riguarda la frase seed: non deve essere inserita in pagine aperte da link, popup o finestre inattese. Inoltre, non dovrebbe essere salvata nelle note, nelle fotografie o nei servizi cloud: è meglio conservarla offline, in un luogo protetto. Allo stesso tempo, non va condivisa con assistenza tecnica, siti o applicazioni.
Bisogna poi evitare comandi copiati da guide non verificate. Le procedure ClickFix sfruttano proprio questo comportamento.
Anche GitHub richiede attenzione: un progetto ospitato sulla piattaforma non è automaticamente sicuro o ufficiale.
Prima di installare un programma, conviene controllare autore, sito del produttore e firma digitale.
Infine, sistemi operativi, browser e applicazioni devono restare aggiornati. L’autenticazione a più fattori aggiunge un’altra protezione agli account collegati.