Immaginate di collegare il vostro Ledger o Trezor per una transazione di routine, digitare il PIN, e vedere comparire sullo schermo del wallet una richiesta di “recovery” della seed phrase — identica, pixel per pixel, a quella che l’app mostrerebbe in caso di reale malfunzionamento. Solo che non è l’app a parlare: è OkoBot, un framework modulare scoperto dal team GReAT di Kaspersky, che si inietta direttamente nel processo Electron di Ledger Live e Trezor Suite per mostrare pagine di phishing hard-coded e rubare la frase di recupero da dentro l’applicazione legittima.
Un framework, non un semplice trojan
Attivo almeno da aprile 2025 e ancora operativo, OkoBot non è un singolo malware ma un’infrastruttura modulare che conta oltre venti payload e impianti diversi, orchestrati tramite un tunnel SSH verso un server controllato dagli attaccanti. Tra le funzioni disponibili: raccolta di file locali, esecuzione di comandi remoti, download di estensioni browser arbitrarie, furto di wallet crypto, keylogging, registrazione video della finestra attiva e, ovviamente, furto di seed phrase. Kaspersky rileva i vari componenti con firme distinte — Trojan-Downloader.Win32.TookPS, Trojan.Win64.BypassUAC, Trojan-Banker.Script.Agent.gen, Backdoor.Win32.TeviRat, Trojan-PSW.Win64.Stealer, Trojan-Spy.Win64.Keylogger — segno che si tratta di un ecosistema criminale maturo e in continua evoluzione, non di un singolo eseguibile.
La catena di infezione: da TookPS al tunnel SSH
Tutto parte da TookPS, un downloader PowerShell che i ricercatori Kaspersky avevano già documentato in campagne precedenti mascherato da software popolare (UltraViewer, AutoCAD, Ableton). TookPS installa un client SSH sulla macchina della vittima, apre una connessione verso un server controllato dagli attaccanti e inoltra la porta del demone SSH locale. Dopo un intervallo di attesa, un bot SSH automatizzato si collega alla porta inoltrata, raccoglie informazioni di base sul sistema — nome utente, antivirus installato, indirizzo IP, versione del sistema operativo — e in base al profilo della vittima decide quali dei venti moduli successivi distribuire. È una catena a quattro stadi pensata per essere modulare e selettiva: non tutte le vittime ricevono lo stesso payload, riducendo il rumore e la superficie di rilevamento generica.
SeedHunter e OkoSpyware: il cuore del furto
Il modulo più insidioso per chi possiede crypto è SeedHunter. Monitora costantemente i processi attivi in cerca di Trezor Suite, Ledger Wallet o Ledger Live; quando li trova, si inietta nel processo e aggancia (“hook”) le funzioni interne Electron dell’applicazione. Alla connessione di un wallet hardware Trezor o Ledger, SeedHunter attiva le funzioni agganciate per mostrare una pagina di phishing hard-coded per il “recupero” della seed phrase — con un layout diverso e specifico per ciascun tipo di wallet, per massimizzare la credibilità. La vittima crede di interagire con la propria app di sempre; in realtà sta digitando le 12 o 24 parole della propria frase di recupero direttamente nelle mani degli attaccanti.
Accanto a SeedHunter opera OkoSpyware, un modulo più recente che cattura keystroke e stream video della finestra dell’applicazione target — utile sia per rubare credenziali digitate manualmente sia per raccogliere materiale di intelligence sulla vittima (abitudini, saldi, altre app finanziarie in uso).
I vettori: ClickFix e repository GitHub trojanizzati
L’infezione iniziale avviene per due strade parallele. La prima è un classico attacco ClickFix: la vittima trova un sito o un annuncio che simula un errore di sistema e la invita a “risolverlo” copiando e incollando un comando in una finestra di esecuzione (di solito PowerShell aperto tramite il prompt “Esegui” di Windows) — un pattern di social engineering che sta esplodendo in popolarità perché elude molti controlli antivirus basati su file, dato che non c’è alcun eseguibile scaricato in un primo momento.
La seconda strada è più insidiosa per un pubblico tecnico: repository GitHub che spacciano software legittimo. In un caso documentato da Kaspersky, un repository pubblicizzato come “SQL Server Management Studio” distribuiva in realtà una copia ricompilata di Audacity, il noto editor audio open source, con un impianto malevolo incorporato in una delle sue librerie. Il repository è rimasto attivo da fine marzo 2025 a giugno, tempo sufficiente per infettare sviluppatori e power user che scaricano software direttamente da GitHub confidando (a torto) nella reputazione della piattaforma come garanzia di autenticità del codice.
I numeri della campagna
Ad oggi OkoBot ha colpito centinaia di vittime in oltre 25 paesi, con la concentrazione più alta in Brasile, Vietnam, Canada, Messico e Turchia — una geografia coerente con altre campagne di crimeware finanziario che privilegiano mercati con adozione crypto retail elevata e risposta delle forze dell’ordine relativamente più lenta rispetto a USA ed Europa occidentale. La campagna, secondo Kaspersky, è tuttora attiva al momento della pubblicazione della ricerca.
Due righe per i difensori
- Diffidare sistematicamente da qualsiasi istruzione che chieda di copiare e incollare comandi in PowerShell o nel prompt “Esegui” per “risolvere un errore”: è la firma comportamentale di ClickFix, indipendentemente dal sito che la propone.
- Scaricare software critico (wallet manager, tool di sviluppo) esclusivamente dai domini ufficiali dei vendor, verificando hash e firme digitali dei pacchetti anche quando la fonte sembra GitHub o un repository con molte stelle.
- Trattare qualunque richiesta di inserimento della seed phrase come un evento anomalo per definizione: né Ledger né Trezor la richiedono mai via software per operazioni di routine. La seed phrase va scritta solo su supporto fisico, mai digitata su un computer connesso.
- Monitorare, lato endpoint, connessioni SSH in uscita non autorizzate e port-forwarding anomali verso IP esterni, dato che l’intera catena OkoBot dipende da un tunnel SSH stabilito dal downloader iniziale.
- Applicare application allow-listing sugli endpoint che gestiscono wallet crypto, impedendo l’iniezione di codice in processi Electron non firmati o modificati rispetto al binario ufficiale.
Indicatori di compromissione
# Firme di rilevamento Kaspersky associate alla campagna OkoBot
Trojan-Downloader.Win32.TookPS.*
Trojan.Win64.BypassUAC.*
Trojan-Banker.Script.Agent.gen
Trojan.Win32.Dllhijack.*
Backdoor.Win32.TeviRat.*
Trojan-PSW.Win64.Stealer.*
Trojan-Spy.Win64.Keylogger.*
Trojan-Spy.Win64.Agent.*
Trojan.Win64.Agent.*
# Comportamenti da monitorare (EDR/SOC)
- Esecuzione PowerShell innescata da clipboard / dialogo "Esegui" (pattern ClickFix)
- Installazione non richiesta di client SSH (es. OpenSSH) seguita da
port-forwarding verso host esterno sconosciuto
- Iniezione di codice in processi Ledger Live / Trezor Suite (Electron)
- Hook di funzioni Electron in processi di wallet manager
- Traffico SSH persistente in uscita su porte non standard verso
infrastruttura non aziendale
# Vettori di distribuzione noti
- Repository GitHub che spacciano software legittimo (es. build
trojanizzate di Audacity presentate come "SQL Server Management Studio")
- Siti/annunci ClickFix che simulano errori di sistema o CAPTCHA falliti
Fonte tecnica completa e IoC estesi: Securelist (Kaspersky GReAT)
Il caso OkoBot conferma una tendenza che i team di threat intelligence osservano da tempo: i criminali informatici stanno spostando lo sforzo ingegneristico dal furto di credenziali generiche all’attacco mirato ai flussi applicativi di prodotti di sicurezza specifici — in questo caso i wallet hardware, pensati proprio per essere “air-gapped” e immuni al malware sul computer host. Iniettarsi nell’app companion anziché nel dispositivo fisico è un modo elegante per aggirare quella barriera senza doverla rompere davvero.