Default
Door Remote - 18 Jul 2026
Kaspersky heeft een nieuw malwareframework ontdekt dat zich richt op investeerders in cryptocurrency.
De malware, die ‘OkoBot’ wordt genoemd, initieert een infectieketen die begint met social engineering-tactieken zoals ClickFix, die gebruikers ertoe verleidt kwaadaardige opdrachten uit te voeren, of getrojaniseerde GitHub-apps die een achterdeur naar geïnfecteerde apparaten leveren, schreef het cyberbeveiligingsbedrijf in een rapport van woensdag.
De malware kan crypto-portemonneebestanden, browsergegevens en gebruikersgegevens verzamelen, kwaadaardige extensies injecteren en portemonnee-applicatievensters vastleggen om activa te stelen. Kaspersky zei dat het sinds januari 2026 meerdere aanvallen heeft geïdentificeerd waarbij deze malwarefamilie betrokken was.
Kaspersky voegde eraan toe dat het malwareframework is voortgekomen uit ‘TookPS’, een malwarecampagne die voor het eerst werd geïdentificeerd in 2025 en die een Trojan-downloader verspreidde via valse softwarewebsites, en dat deze de deur opent voor copycat-aanvallen.
Het verschilt van eerdere campagnes doordat het alle twintig kwaadaardige ladingen via een SSH-tunnel orkestreert, waardoor gegevens op afstand kunnen worden getransporteerd van geïnfecteerde computers naar machines op afstand die door aanvallers worden bestuurd.
Originele OkoBot-infectieketen. Bron: Kaspersky
Valse LinkedIn-rekruteringscampagnes richten zich op Web3-ontwikkelaars met malware. Daarnaast probeert een nieuwe malwarecampagne de apparaten van Web3-ontwikkelaars te infiltreren via valse LinkedIn-rekruteringsmogelijkheden, aldus SlowMist.
Aanvallers nemen via LinkedIn contact op met blockchain-ontwikkelaars en doen zich voor als Web3-recruiters. Vervolgens sturen ze valse GitHub-opslagplaatsen naar de slachtoffers, waarbij ze beweren dat ze het minimaal levensvatbare product bevatten dat vóór het interview moest worden uitgeprobeerd, zei het blockchain-beveiligingsbedrijf in een zaterdagrapport.
De workflow lijkt sterk op een legitiem technisch interview waarbij ontwikkelaars code ophalen, afhankelijkheden installeren en een project starten, wat het volgens SlowMist moeilijk maakt om de aanval op te merken.
Gerelateerd: UK veroordeelt 2 hackers die betrokken zijn bij een crypto-losgeldprogramma van $115 miljoen
De malware heeft tot doel een complete “remote access trojan” te leveren die apparaten infecteert, waardoor aanvallers projectsleutels, cloudreferenties of portemonnee-extensiegegevens van deze ontwikkelaars kunnen stelen.
“Deze aanval is geen op zichzelf staand geval”, schreef SlowMist, eraan toevoegend dat recente incidenten illustreren dat “aanvallers steeds vaker gebruik maken van scenario’s zoals rekrutering, codebeoordelingen en projectsamenwerkingen om ontwikkelaars te misleiden om actief kwaadaardige opslagplaatsen te beheren.”
Het rapport kwam een dag nadat SlowMist waarschuwde voor een afzonderlijke malwarecampagne gericht op macOS-gebruikers, met als doel hun inloggegevens te stelen en hun Telegram-sessies te kapen om uiteindelijk investeerders te misleiden om via nepwebsites hun portemonnee-herstelzinnen in te voeren.
Magazine: Bewijst het falen van Botanix dat Bitcoiners niets om DeFi geven?
De malware, die ‘OkoBot’ wordt genoemd, initieert een infectieketen die begint met social engineering-tactieken zoals ClickFix, die gebruikers ertoe verleidt kwaadaardige opdrachten uit te voeren, of getrojaniseerde GitHub-apps die een achterdeur naar geïnfecteerde apparaten leveren, schreef het cyberbeveiligingsbedrijf in een rapport van woensdag.
De malware kan crypto-portemonneebestanden, browsergegevens en gebruikersgegevens verzamelen, kwaadaardige extensies injecteren en portemonnee-applicatievensters vastleggen om activa te stelen. Kaspersky zei dat het sinds januari 2026 meerdere aanvallen heeft geïdentificeerd waarbij deze malwarefamilie betrokken was.
Kaspersky voegde eraan toe dat het malwareframework is voortgekomen uit ‘TookPS’, een malwarecampagne die voor het eerst werd geïdentificeerd in 2025 en die een Trojan-downloader verspreidde via valse softwarewebsites, en dat deze de deur opent voor copycat-aanvallen.
Het verschilt van eerdere campagnes doordat het alle twintig kwaadaardige ladingen via een SSH-tunnel orkestreert, waardoor gegevens op afstand kunnen worden getransporteerd van geïnfecteerde computers naar machines op afstand die door aanvallers worden bestuurd.
Originele OkoBot-infectieketen. Bron: Kaspersky
Valse LinkedIn-rekruteringscampagnes richten zich op Web3-ontwikkelaars met malware. Daarnaast probeert een nieuwe malwarecampagne de apparaten van Web3-ontwikkelaars te infiltreren via valse LinkedIn-rekruteringsmogelijkheden, aldus SlowMist.
Aanvallers nemen via LinkedIn contact op met blockchain-ontwikkelaars en doen zich voor als Web3-recruiters. Vervolgens sturen ze valse GitHub-opslagplaatsen naar de slachtoffers, waarbij ze beweren dat ze het minimaal levensvatbare product bevatten dat vóór het interview moest worden uitgeprobeerd, zei het blockchain-beveiligingsbedrijf in een zaterdagrapport.
De workflow lijkt sterk op een legitiem technisch interview waarbij ontwikkelaars code ophalen, afhankelijkheden installeren en een project starten, wat het volgens SlowMist moeilijk maakt om de aanval op te merken.
Gerelateerd: UK veroordeelt 2 hackers die betrokken zijn bij een crypto-losgeldprogramma van $115 miljoen
De malware heeft tot doel een complete “remote access trojan” te leveren die apparaten infecteert, waardoor aanvallers projectsleutels, cloudreferenties of portemonnee-extensiegegevens van deze ontwikkelaars kunnen stelen.
“Deze aanval is geen op zichzelf staand geval”, schreef SlowMist, eraan toevoegend dat recente incidenten illustreren dat “aanvallers steeds vaker gebruik maken van scenario’s zoals rekrutering, codebeoordelingen en projectsamenwerkingen om ontwikkelaars te misleiden om actief kwaadaardige opslagplaatsen te beheren.”
Het rapport kwam een dag nadat SlowMist waarschuwde voor een afzonderlijke malwarecampagne gericht op macOS-gebruikers, met als doel hun inloggegevens te stelen en hun Telegram-sessies te kapen om uiteindelijk investeerders te misleiden om via nepwebsites hun portemonnee-herstelzinnen in te voeren.
Magazine: Bewijst het falen van Botanix dat Bitcoiners niets om DeFi geven?

