Framework de malware OkoBot injeta phishing de seed phrase em apps da Ledger e Trezor
16 de Julho de 2026

Um framework de malware chamado OkoBot vem operando em máquinas Windows desde abril de 2025, e um de seus módulos foi criado para enganar usuários de hardware wallets e fazê-los entregar a frase de recuperação.

Em um PC infectado, a solicitação aparece como se viesse do próprio software de desktop da carteira.

Em alguns casos, o malware espera até que o dispositivo seja conectado.

A página exibida é maliciosa.

O aplicativo ao redor é o verdadeiro programa instalado pelo usuário, e a frase vai direto para a wallet.

A equipe GReAT da Kaspersky publicou a análise na quarta-feira e disse ter identificado centenas de vítimas em sua telemetria, distribuídas por mais de 25 países.

A maior concentração de usuários atacados está no Brasil, Vietnã, Canadá, México e Turquia.

O relatório não informa quantos deles chegaram a digitar a frase de recuperação.

O OkoBot reúne mais de 20 payloads e implantes e ainda estava ativo na data do relatório, em 15 de julho.

SeedHunter espera pelo dispositivo

SeedHunter é o módulo do OkoBot responsável por roubar a frase de recuperação.

Depois que o framework se instala, ele passa a monitorar Trezor Suite, Ledger Wallet e Ledger Live, injeta código no aplicativo encontrado e intercepta componentes internos do Electron.

Em seguida, consulta seu C2 em moonsand[.]store.

Se o servidor definir a flag Wait, o SeedHunter verifica dispositivos USB por vendor ID e product ID e permanece inativo até que uma Ledger ou Trezor legítima seja conectada.

Só então ele exibe uma página de recuperação com layout fixo e codificado no malware, uma para cada marca.

Com a flag desativada, a página aparece imediatamente.

A frase digitada é enviada para o console da própria página, atrás de um marcador @:app:print, e o hook mal_LogConsoleMessage a captura.

O conteúdo é exportado em JSON, com uma cópia em RC4 salva em um arquivo temporário.

Não é a hardware wallet que é comprometida.

Ela faz exatamente o que foi projetada para fazer, que é recusar a entrega da chave privada.

O problema é que ela não consegue impedir o software que a acompanha de pedir a frase de recuperação ao usuário.

Nenhuma das duas partes desse truque é nova.

O Moonlock Lab já acompanhava stealers no macOS que faziam a mesma troca, e a THN cobriu clones do Ledger Live, em que o AMOS encerrava o Ledger Live original e instalava em /Applications um trojan pedindo as 24 palavras.

O GlassWorm também usou no Windows, em março, um gatilho via USB, recorrendo ao WMI para detectar a conexão de um dispositivo e, depois, abrir sua própria janela após encerrar o aplicativo legítimo.

O que o SeedHunter muda é o local em que a página é desenhada.

Ele mantém o aplicativo aberto e a renderiza dentro dele.

O SSMS que na verdade era Audacity

A infecção chega por dois caminhos principais, uma isca do tipo ClickFix e software trojanizado no GitHub.

O repositório analisado pela Kaspersky se apresentava como SQL Server Management Studio.

Na prática, distribuía o Audacity, editor de áudio recompilado com um implante malicioso dentro de uma de suas bibliotecas.

O pacote se disfarçou como SSMS e circulou do fim de março de 2025 até junho.

Os dois caminhos executam o TookPS, um downloader em PowerShell monitorado pela Kaspersky desde março de 2025, quando ele foi distribuído em páginas falsas do DeepSeek e depois em sites falsos de download de software corporativo.

O programa instala SSH, se conecta a um servidor controlado pelo atacante, encaminha a porta do daemon SSH local e aguarda.

Mais tarde, um bot automatizado de SSH se conecta de volta pelo túnel.

Esse bot mapeia a máquina até os detalhes do antivírus instalado, depois extrai arquivos de carteiras, cookies, perfis de navegador e credenciais pelo túnel.

Também desativa notificações do Defender com uma alteração no Registro e monta sua estrutura de acesso:

Abre o firewall para RDP de entrada
Adiciona uma conta ao grupo Usuários da Área de Trabalho Remota
Substitui o termsrv.dll por uma versão com patch que permite sessões simultâneas de RDP
Registra uma tarefa agendada chamada Apple Sync, que recria a cada hora um túnel SSH reverso para a porta local de RDP

Depois disso, os módulos são entregues via SFTP.

Um inicializador empacotado com VMProtect, chamado HDUtil, executa esses módulos e pode elevá-los silenciosamente por meio de um bypass de UAC via Windows RPC documentado pelo Project Zero em 2019.

A última entrega é o Volume2, um utilitário open source que carrega uma protobuf.dll maliciosa capaz de descriptografar e iniciar o payload real: um dispatcher de plugins que consulta o C2 a cada 20 segundos.

A Kaspersky recuperou cinco plugins.

Um deles é um injetor de processos, responsável por posicionar o SeedHunter.

O restante do kit é voltado à vigilância.

OkoSpyware monitora mais de 100 executáveis, incluindo Exodus e 1Password.

Ele grava em MP4 a janela correspondente com uma cópia embutida do FFmpeg e registra as teclas digitadas dentro do próprio vídeo.

Os títulos das janelas do navegador são comparados com expressões regulares, então abas como MetaMask ou Tonkeeper também acabam registradas.

O MC Keylogger cobre entrada de teclado, área de transferência e dispositivos USB, além de capturar uma screenshot a cada cinco minutos.

Um loader instala extensões ocultas do Chromium com todas as permissões concedidas; o Rilide, um stealer para Chromium usado por threat actors que falam russo desde abril de 2023, foi a extensão instalada.

De quem é o framework?

A Kaspersky não atribui a campanha a um grupo específico.

Segundo a empresa, “não podemos atribuir essa campanha maliciosa a nenhum threat actor conhecido de crimeware”.

Os servidores que hospedam a primeira etapa em PowerShell retornam uma resposta vazia para IPs da Rússia e da Comunidade de Estados Independentes.

O Rilide circula em fóruns russos de convite restrito.

As páginas de phishing do SeedHunter trazem comentários em russo.

São sinais indiretos, e o relatório os trata dessa forma.

Não existe CVE da wallet nem patch do fabricante que feche essa rota.

O ataque acontece no endpoint, e os artefatos são específicos o suficiente para caçada:

Uma tarefa agendada chamada Apple Sync
%PROGRAMDATA%\hwid.dat, %PROGRAMDATA%\HDVideo\HDUtil.exe, %USERPROFILE%\.ssh\go.bat
termsrv.dll alterado em relação à versão original
Contas em Usuários da Área de Trabalho Remota que ninguém adicionou
SSH de saída a partir de endpoints de usuários
Extensões em Local Extension Settings que nunca aparecem na lista de extensões do navegador

A publicação da Kaspersky traz os hashes e os domínios de C2.

As fabricantes traçam a linha de defesa no dispositivo.

A Ledger afirma que a frase de recuperação nunca sai da própria Ledger.

A Trezor Suite diz que nunca pedirá ao usuário que digite o backup, embora a recuperação padrão de uma Model One use as palavras na Suite, e apenas quando o dispositivo solicita.

Uma página que aparece porque o dispositivo foi conectado, mas sem nada visível na tela da wallet, é o sinal de alerta.

Depois veio a reconstrução de março de 2026.

O TeviRAT desapareceu.

A cadeia HDUtil, extl e Rilide também sumiu, incorporada a um único plugin dispatcher que faz a mesma função.

O Volume2 agora vem diretamente do TookPS.

Ninguém limpa um código assim quando pretende mantê-lo em produção por muito tempo.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...