Prema Kasperskyju, napadači OkoBot‑a koriste tehniku ClickFix kako bi zavarali korisnike i izvršili zlonamjerne naredbe na njihovim uređajima. Zlonamjerni program distribuira se i putem lažnih GitHub repozitorija, gdje se pod maskom alata poput SQL Server Management Studio prikazuje zaražena verzija Audacityja. OkoBot instalira PowerShell skriptu TookPS koja postavlja SSH bota za prikupljanje podataka o korisničkom imenu, antivirusnom softveru, IP adresi i operativnom sustavu, a također prikuplja informacije o kripto novčanicima, kolačićima i vjerodajnicama. Moduli OkoBot‑a, uključujući extl.exe, SeedHunter, MC Keylogger i OkoSpyware, ciljaju na Chrome proširenja, Trezor Suite, Ledger Wallet i druge aplikacije kako bi ukrali seed fraze i snimali tipke, zaslone i videozapise. Kaspersky navodi da su najveći broj žrtava iz Brazila, Vijetnama, Kanade, Meksika i Turske, dok je iznos ukradenih sredstava nepoznat.