Киберугрозы недели: USB-червь для кражи криптовалют, троян Rokarolla и уязвимость в Beats Studio Buds

На этой неделе ландшафт киберугроз пополнился рядом опасных находок, нацеленных на криптосообщество. От самораспространяющихся червей до сложных Android-троянов — злоумышленники продолжают совершенствовать свои методы, используя как технические уязвимости, так и приемы социальной инженерии.
USB-червь: скрытая угроза на вашей флешке
Аналитики Microsoft выявили кампанию по распространению саморазмножающегося вредоноса, нацеленного на владельцев криптовалют. Механизм заражения активируется при открытии модифицированного файла ярлыка (.LNK) на USB-накопителе. После этого червь устанавливает связь с командным сервером, расположенным в доменной зоне .onion, и начинает сканировать локальную систему.
При обнаружении пользовательских документов вредонос скрывает оригиналы и подменяет их вредоносными ярлыками с идентичными названиями. Таким образом, программа активируется каждый раз, когда жертва пытается открыть свои рабочие файлы. Для самораспространения червь создает запланированную задачу, которая копирует его на любой новый USB-диск, подключаемый к компьютеру.
Кража криптовалют происходит через перехват буфера обмена. Вредонос мониторит скопированные данные на наличие 12- и 24-словных сид-фраз BIP39, а также адресов кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении целевого адреса он мгновенно подменяет его на реквизиты атакующих. Для обмана жертвы алгоритм подбирает кошельки, начальные символы которых визуально совпадают с оригинальными.
Главный индикатор заражения — аномальная фоновая активность процессов wscript.exe и cscript.exe, а также несанкционированные подключения к localhost:9050 (стандартный порт Tor).
Rokarolla: новый Android-троян с полным контролем
Исследователи Zimperium обнаружили троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос распространяется через поддельные сайты, маскирующиеся под установщики TikTok и Google Chrome. После загрузки он имитирует системный компонент Google Play Protect и с помощью социальной инженерии вынуждает жертву предоставить доступ к «Специальным возможностям».
Получив разрешение, троян отключает настоящий сканер Play Protect и разворачивает полный функционал. Он перехватывает PIN-коды, читает СМС и манипулирует буфером обмена для кражи криптовалют. Отдельный оверлей имитирует стандартный экран блокировки Android, позволяя похитить пароль или графический ключ. Для обхода двухфакторной аутентификации Rokarolla перехватывает одноразовые банковские коды и может блокировать входящие вызовы от антифрод-систем.
Apple закрыла опасную уязвимость в Beats Studio Buds
Компания Apple выпустила обновление прошивки для беспроводных наушников Beats Studio Buds, устраняющее уязвимость CVE-2025-20701. Проблема, обнаруженная экспертами SentinelOne, позволяла злоумышленникам, находящимся в радиусе действия Bluetooth, удаленно подключаться к устройству и использовать встроенный микрофон для шпионажа.
Брешь связана с некорректной авторизацией в Bluetooth-аудио SDK от разработчика чипов Airoha. Эксплойт может быть активирован через стандартный Bluetooth или протокол BLE без какой-либо аутентификации. Помимо прослушки, атака предоставляла практически полный контроль над устройством, включая возможность чтения и перезаписи памяти, а также перехвата доверительных отношений с ранее сопряженными смартфонами.
Мнение эксперта: Эта неделя в очередной раз демонстрирует, что киберпреступники активно адаптируются к новым реалиям. USB-черви, которые когда-то казались пережитком прошлого, вновь становятся актуальными благодаря своей способности обходить облачные системы безопасности. Особую тревогу вызывает использование злоумышленниками сложных методов социальной инженерии, таких как фейковая репутация на GitHub и YouTube. Владельцам криптовалют следует проявлять максимальную бдительность: не подключать незнакомые USB-накопители, тщательно проверять разрешения для приложений на Android и своевременно обновлять прошивки всех устройств, включая наушники.