Kaspersky rivela un sofisticato framework malware che prende di mira gli investitori in criptovalute

Kaspersky ha identificato un nuovo framework di malware rivolto agli investitori di criptovalute, denominato OkoBot, che combina tecniche di ingegneria sociale e componenti malevoli distribuiti tramite repository compromessi.

La catena di infezione di OkoBot inizia con stratagemmi come ClickFix, che ingannano gli utenti inducendoli a eseguire comandi dannosi, oppure con applicazioni trojanizzate su GitHub che installano una backdoor sui dispositivi compromessi.

Una volta entrato, il malware è in grado di raccogliere file di wallet, dati salvati nei browser e credenziali utente, iniettare estensioni malevole e catturare le finestre delle applicazioni per portafogli allo scopo di sottrarre fondi. Secondo i rilevamenti, sono stati osservati diversi attacchi riconducibili a questa famiglia di malware a partire da gennaio 2026.

Il framework trae origine da una campagna precedente nota come TookPS, emersa nel 2025, che diffondeva un downloader trojan tramite siti di software falsificati: Kaspersky segnala che OkoBot ha ampliato quelle tecniche e che la sua diffusione favorisce attacchi imitativi.

Una caratteristica distintiva di OkoBot è l’orchestrazione di oltre venti payload malevoli attraverso un tunnel SSH, che consente il trasferimento remoto dei dati da computer compromessi verso macchine controllate dagli aggressori.

Campagna mirata agli sviluppatori Web3

In parallelo, la società di sicurezza SlowMist ha descritto una campagna che prende di mira gli sviluppatori del ecosistema Web3 attraverso finti annunci di reclutamento. Gli attaccanti contattano i programmatori fingendosi reclutatori e inviano repository fraudolenti su GitHub, spacciandoli per un prodotto minimo funzionale da provare prima del colloquio tecnico.

La modalità d’attacco sfrutta il flusso di lavoro tipico di un’intervista tecnica — clonare il codice, installare dipendenze e avviare il progetto — rendendo difficile distinguere il materiale malevolo da quello legittimo. L’obiettivo è consegnare un completo remote access trojan che permetta agli aggressori di rubare chiavi di progetto, credenziali cloud o dati delle estensioni per portafogli.

SlowMist ha osservato che questi episodi non sono isolati e che gli attaccanti stanno sempre più sfruttando contesti professionali come reclutamento, revisioni di codice e collaborazioni per indurre gli sviluppatori a eseguire repository malevoli.

La stessa società ha inoltre segnalato una campagna distinta rivolta a utenti di macOS, mirata a sottrarre credenziali e a dirottare sessioni di Telegram, con l’obiettivo finale di convincere gli investitori a inserire le frasi di recupero dei portafogli su siti contraffatti.

Implicazioni e contromisure

Il perfezionamento di strumenti come OkoBot e l’uso di scenari professionali per la diffusione dei payload indicano un cambiamento tattico: gli aggressori stanno cercando di trasformare processi legittimi in vettori d’infezione. Questo aumento di sofisticazione ha conseguenze dirette sulla sicurezza degli investimenti in criptovalute e sui progetti blockchain europei e italiani.

Per ridurre il rischio, è consigliabile adottare misure pratiche: verificare l’autenticità dei repository prima di eseguire codice sconosciuto, utilizzare ambienti isolati o macchine virtuali per i test, mantenere aggiornati software e antivirus, attivare l’autenticazione a due fattori e, per i portafogli di valore, preferire l’uso di hardware wallet e procedure offline per la gestione delle chiavi.

Dal punto di vista delle imprese e degli investitori istituzionali, è opportuno rafforzare le procedure di due diligence su collaboratori esterni e processi di onboarding tecnico, oltre a monitorare il traffico in uscita e le connessioni SSH sospette verso host non autorizzati.

Ruolo delle autorità e impatto sul mercato

I regolatori e le forze dell’ordine sono chiamati a intensificare il coordinamento internazionale per contrastare infrastrutture di comando e controllo localizzate oltreconfine. Una risposta efficace può ridurre la fiducia degli investitori nelle piattaforme decentralizzate e, se protratta, influenzare la liquidità e i prezzi di mercato delle criptovalute più esposte a furti coordinati.

Per gli operatori italiani del settore fintech e crypto, l’adozione di standard di sicurezza condivisi e la collaborazione con centri di ricerca sulla cyber-sicurezza possono costituire un elemento di valore competitivo, rafforzando la resilienza delle applicazioni Web3 sviluppate nel nostro paese.

In sintesi

  • L’evoluzione di framework come OkoBot aumenta il rischio di furti diretti di asset digitali, con potenziali ripercussioni sulla fiducia degli investitori retail e professionali in Italia.
  • Gli attacchi mirati agli sviluppatori Web3 possono compromettere interi progetti blockchain, quindi le società devono considerare la sicurezza del codice e la verifica dei collaboratori come elementi critici per la valutazione d’investimento.
  • Per gli investitori istituzionali italiani, la diffusione di queste minacce rende più rilevante l’adozione di contromisure tecniche e di governance, influenzando la valutazione del rischio e l’allocazione del capitale verso asset digitali.


Author: Tony
Redazione Finanza Flash. Notizie di finanza, mercati, borsa e macroeconomia in tempo reale. Aggiornamenti su investimenti, banche, BCE ed economia italiana.