OkoBot đánh cắp seed phrase và thông tin ví crypto qua khoảng 20 mô-đun, nhắm vào người dùng Trezor, Ledger cùng các ví phần mềm.
Kaspersky cho biết mã độc này được phát tán qua các kho GitHub giả mạo công cụ hợp pháp như SQL Server Management Studio, đồng thời dùng kỹ thuật ClickFix để lừa nạn nhân tự chạy lệnh độc hại. Khi lấy được seed phrase, kẻ tấn công có thể chiếm toàn bộ tài sản trong ví.
Trong bộ công cụ của OkoBot có SeedHunter, MC Keylogger và OkoSpyware. Các mô-đun này có thể chèn vào quy trình khôi phục seed phrase, ghi lại thao tác bàn phím và clipboard, theo dõi mật khẩu ví và quay video cửa sổ đang mở.
Kaspersky cho biết OkoBot đã hoạt động hơn một năm. Phần lớn nạn nhân được ghi nhận ở Brazil, Việt Nam, Canada, Mexico và Thổ Nhĩ Kỳ, trong khi kẻ tấn công chặn truy cập từ IP ở Nga và các nước CIS.