Um framework de malware chamado OkoBot vem operando em máquinas Windows desde abril de 2025, e um de seus módulos foi criado para enganar usuários de hardware wallets e fazê-los entregar a frase de recuperação.
Em um PC infectado, a solicitação aparece como se viesse do próprio software de desktop da carteira.
Em alguns casos, o malware espera até que o dispositivo seja conectado.
A página exibida é maliciosa.
O aplicativo ao redor é o verdadeiro programa instalado pelo usuário, e a frase vai direto para a wallet.
A equipe GReAT da Kaspersky publicou a análise na quarta-feira e disse ter identificado centenas de vítimas em sua telemetria, distribuídas por mais de 25 países.
A maior concentração de usuários atacados está no Brasil, Vietnã, Canadá, México e Turquia.
O relatório não informa quantos deles chegaram a digitar a frase de recuperação.
O OkoBot reúne mais de 20 payloads e implantes e ainda estava ativo na data do relatório, em 15 de julho.
SeedHunter espera pelo dispositivo
SeedHunter é o módulo do OkoBot responsável por roubar a frase de recuperação.
Depois que o framework se instala, ele passa a monitorar Trezor Suite, Ledger Wallet e Ledger Live, injeta código no aplicativo encontrado e intercepta componentes internos do Electron.
Em seguida, consulta seu C2 em moonsand[.]store.
Se o servidor definir a flag Wait, o SeedHunter verifica dispositivos USB por vendor ID e product ID e permanece inativo até que uma Ledger ou Trezor legítima seja conectada.
Só então ele exibe uma página de recuperação com layout fixo e codificado no malware, uma para cada marca.
Com a flag desativada, a página aparece imediatamente.
A frase digitada é enviada para o console da própria página, atrás de um marcador @:app:print, e o hook mal_LogConsoleMessage a captura.
O conteúdo é exportado em JSON, com uma cópia em RC4 salva em um arquivo temporário.
Não é a hardware wallet que é comprometida.
Ela faz exatamente o que foi projetada para fazer, que é recusar a entrega da chave privada.
O problema é que ela não consegue impedir o software que a acompanha de pedir a frase de recuperação ao usuário.
Nenhuma das duas partes desse truque é nova.
O Moonlock Lab já acompanhava stealers no macOS que faziam a mesma troca, e a THN cobriu clones do Ledger Live, em que o AMOS encerrava o Ledger Live original e instalava em /Applications um trojan pedindo as 24 palavras.
O GlassWorm também usou no Windows, em março, um gatilho via USB, recorrendo ao WMI para detectar a conexão de um dispositivo e, depois, abrir sua própria janela após encerrar o aplicativo legítimo.
O que o SeedHunter muda é o local em que a página é desenhada.
Ele mantém o aplicativo aberto e a renderiza dentro dele.
O SSMS que na verdade era Audacity
A infecção chega por dois caminhos principais, uma isca do tipo ClickFix e software trojanizado no GitHub.
O repositório analisado pela Kaspersky se apresentava como SQL Server Management Studio.
Na prática, distribuía o Audacity, editor de áudio recompilado com um implante malicioso dentro de uma de suas bibliotecas.
O pacote se disfarçou como SSMS e circulou do fim de março de 2025 até junho.
Os dois caminhos executam o TookPS, um downloader em PowerShell monitorado pela Kaspersky desde março de 2025, quando ele foi distribuído em páginas falsas do DeepSeek e depois em sites falsos de download de software corporativo.
O programa instala SSH, se conecta a um servidor controlado pelo atacante, encaminha a porta do daemon SSH local e aguarda.
Mais tarde, um bot automatizado de SSH se conecta de volta pelo túnel.
Esse bot mapeia a máquina até os detalhes do antivírus instalado, depois extrai arquivos de carteiras, cookies, perfis de navegador e credenciais pelo túnel.
Também desativa notificações do Defender com uma alteração no Registro e monta sua estrutura de acesso:
Abre o firewall para RDP de entrada
Adiciona uma conta ao grupo Usuários da Área de Trabalho Remota
Substitui o termsrv.dll por uma versão com patch que permite sessões simultâneas de RDP
Registra uma tarefa agendada chamada Apple Sync, que recria a cada hora um túnel SSH reverso para a porta local de RDP
Depois disso, os módulos são entregues via SFTP.
Um inicializador empacotado com VMProtect, chamado HDUtil, executa esses módulos e pode elevá-los silenciosamente por meio de um bypass de UAC via Windows RPC documentado pelo Project Zero em 2019.
A última entrega é o Volume2, um utilitário open source que carrega uma protobuf.dll maliciosa capaz de descriptografar e iniciar o payload real: um dispatcher de plugins que consulta o C2 a cada 20 segundos.
A Kaspersky recuperou cinco plugins.
Um deles é um injetor de processos, responsável por posicionar o SeedHunter.
O restante do kit é voltado à vigilância.
OkoSpyware monitora mais de 100 executáveis, incluindo Exodus e 1Password.
Ele grava em MP4 a janela correspondente com uma cópia embutida do FFmpeg e registra as teclas digitadas dentro do próprio vídeo.
Os títulos das janelas do navegador são comparados com expressões regulares, então abas como MetaMask ou Tonkeeper também acabam registradas.
O MC Keylogger cobre entrada de teclado, área de transferência e dispositivos USB, além de capturar uma screenshot a cada cinco minutos.
Um loader instala extensões ocultas do Chromium com todas as permissões concedidas; o Rilide, um stealer para Chromium usado por threat actors que falam russo desde abril de 2023, foi a extensão instalada.
De quem é o framework?
A Kaspersky não atribui a campanha a um grupo específico.
Segundo a empresa, “não podemos atribuir essa campanha maliciosa a nenhum threat actor conhecido de crimeware”.
Os servidores que hospedam a primeira etapa em PowerShell retornam uma resposta vazia para IPs da Rússia e da Comunidade de Estados Independentes.
O Rilide circula em fóruns russos de convite restrito.
As páginas de phishing do SeedHunter trazem comentários em russo.
São sinais indiretos, e o relatório os trata dessa forma.
Não existe CVE da wallet nem patch do fabricante que feche essa rota.
O ataque acontece no endpoint, e os artefatos são específicos o suficiente para caçada:
Uma tarefa agendada chamada Apple Sync
%PROGRAMDATA%\hwid.dat, %PROGRAMDATA%\HDVideo\HDUtil.exe, %USERPROFILE%\.ssh\go.bat
termsrv.dll alterado em relação à versão original
Contas em Usuários da Área de Trabalho Remota que ninguém adicionou
SSH de saída a partir de endpoints de usuários
Extensões em Local Extension Settings que nunca aparecem na lista de extensões do navegador
A publicação da Kaspersky traz os hashes e os domínios de C2.
As fabricantes traçam a linha de defesa no dispositivo.
A Ledger afirma que a frase de recuperação nunca sai da própria Ledger.
A Trezor Suite diz que nunca pedirá ao usuário que digite o backup, embora a recuperação padrão de uma Model One use as palavras na Suite, e apenas quando o dispositivo solicita.
Uma página que aparece porque o dispositivo foi conectado, mas sem nada visível na tela da wallet, é o sinal de alerta.
Depois veio a reconstrução de março de 2026.
O TeviRAT desapareceu.
A cadeia HDUtil, extl e Rilide também sumiu, incorporada a um único plugin dispatcher que faz a mesma função.
O Volume2 agora vem diretamente do TookPS.
Ninguém limpa um código assim quando pretende mantê-lo em produção por muito tempo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...