Криптоугрозы недели: USB-червь против Windows, Android-троян Rokarolla и уязвимость в Beats Studio Buds

На этой неделе ландшафт киберугроз для криптосообщества пополнился сразу несколькими опасными векторами атак. От саморазмножающихся червей до сложных Android-троянов — злоумышленники продолжают совершенствовать инструментарий. Разберем ключевые события в сфере криптобезопасности.
USB-червь с функцией стилера: новая угроза для владельцев криптовалют
Специалисты Microsoft раскрыли детали кампании по распространению саморазмножающегося вредоносного ПО, нацеленного на кражу цифровых активов. Заражение происходит при открытии модифицированного ярлыка (.LNK) на USB-накопителе. После активации червь скрытно загружает полезные нагрузки с командного сервера в домене .onion.
Механизм заражения крайне коварен: вредонос сканирует систему, скрывает оригинальные документы пользователя и подменяет их ярлыками с идентичными названиями. Каждый раз, когда жертва пытается открыть свой файл, вирус активируется вновь. Для самораспространения червь создает запланированную задачу, которая отслеживает подключение новых USB-дисков и мгновенно копирует себя на них.
В активной фазе стилер мониторит буфер обмена каждые полсекунды, выискивая 12- и 24-словные сид-фразы BIP39, а также адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении он подменяет их на реквизиты атакующего, причем алгоритм подбирает кошельки с визуально похожими начальными символами. Помимо этого, каждые десять секунд делается пять скриншотов экрана. Индикаторами заражения служат подозрительная активность процессов wscript.exe, cscript.exe, а также несанкционированные подключения к localhost:9050 (стандартный порт Tor).
Android-троян Rokarolla: полный контроль над устройством
Исследователи Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос распространяется через поддельные сайты, маскирующиеся под установщики TikTok и Google Chrome. На первом этапе жертву заставляют выдать доступ к «Специальным возможностям», после чего троян отключает защиту Play Protect и разворачивает полный функционал.
Rokarolla использует фейковые HTML-страницы авторизации для подмены легитимных криптокошельков, а также имитирует экран блокировки Android для кражи PIN-кодов. Встроенный клиппер подменяет адреса в буфере обмена, а для обхода 2FA троян перехватывает SMS. Более того, назначая себя приложением по умолчанию для звонков, он способен блокировать входящие вызовы от антифрод-систем банков.
Уязвимость в Beats Studio Buds: прослушка без согласия
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701 высокой степени опасности. Проблема, обнаруженная в Bluetooth-аудио SDK от Airoha, позволяла злоумышленникам в радиусе действия Bluetooth подключаться к наушникам без аутентификации и активировать встроенный микрофон для шпионажа.
Эксплойт также давал возможность читать и перезаписывать оперативную и флеш-память устройства, а также перехватывать доверительные отношения с ранее сопряженными смартфонами. Уязвимость устранена в версии прошивки 1B211.
Другие события недели
- Правоохранители Южной Кореи задержали 23 подозреваемых по делу об отмывании 11,1 млн USDT для камбоджийской фишинговой организации. Схема задействовала 11 300 счетов, а общая сумма похищенных средств составила $17 млн.
- ФБР предупредило о новой тактике криптоскамеров: они нанимают курьеров для сбора наличных у жертв, чьи банковские транзакции блокируются системами безопасности. За 2025 год ущерб от таких схем в США достиг $8,6 млрд.
- Устаревший контракт в сети Aztec подвергся взлому на $2 млн.
Экспертный комментарий: Эта неделя наглядно демонстрирует, что киберпреступники переходят к мультивекторным атакам, сочетая социальную инженерию с технически сложными методами. Особую тревогу вызывает USB-червь — его способность к самораспространению и маскировке под пользовательские файлы делает его крайне опасным для корпоративного сектора. Рекомендую всем владельцам криптовалют немедленно обновить прошивки наушников и тщательно проверять разрешения, выдаваемые мобильным приложениям.