Маскировка под доверие: фейковые репутации, USB-черви и новые Android-трояны — дайджест киберугроз недели

Мир криптобезопасности продолжает подбрасывать новые вызовы. На этой неделе мы наблюдали целый каскад атак, начиная от изощренных схем манипуляции репутацией на GitHub и заканчивая саморазмножающимися USB-червями. Я проанализировал ключевые события, чтобы вы могли держать руку на пульсе.
Фейковая репутация как инструмент: криптоклипперы на Solana и Pump.fun
Злоумышленники вывели социальную инженерию на новый уровень, создав целую «экономику репутации» для продвижения вредоносного ПО. В центре схемы — криптоклиппер, написанный на Rust и нацеленный на Windows и macOS. Он маскируется под инструменты для трейдинга в экосистемах Solana и Pump.fun, а также под софт для беттинга.
Хакер выстроил сложную инфраструктуру «сетей-призраков» (Ghost Networks) на нескольких платформах. На VirusTotal кластер фейковых аккаунтов массово оставлял положительные отзывы, чтобы ложно классифицировать вредоносные файлы как безопасные. На GitHub и SourceForge использовалась сетка аккаунтов для взаимного продвижения репозиториев, а на SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств. На YouTube для рекламы используется канал с более чем 91 000 подписчиков, где обучающие ролики создаются с помощью ИИ-генераторов голоса и сопровождаются накрученными комментариями. Для легализации инструмента хакер использует сервисы рассылки пресс-релизов, которые затем автоматически перепечатываются партнерскими новостными сайтами. Это опасный сдвиг в тактике: обкатанная схема может быть применена для массового распространения программ-вымогателей и более сложных инфостилеров.
USB-червь: скрытые ярлыки и кража сид-фраз
Эксперты Microsoft раскрыли детали кампании саморазмножающегося вредоноса, нацеленного на владельцев криптовалют. Процесс заражения активируется при открытии модифицированного файла ярлыка (.LNK) на USB-накопителе. Червь скрыто устанавливает дополнительные нагрузки с командного сервера в доменной зоне .onion, сканирует систему на наличие пользовательских документов, подменяет их вредоносными ярлыками и создает запланированную задачу для самораспространения на новые USB-диски.
В активной фазе стилер мониторит буфер обмена на наличие сид-фраз BIP39 (12 и 24 слова) и адресов кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении он моментально подменяет их на реквизиты злоумышленника, подбирая кошельки с визуально совпадающими начальными символами. Каждые десять секунд вирус делает пять снимков экрана и отправляет их хакерам. Активность фиксируется как минимум с февраля, и главные индикаторы заражения — поведенческие: подозрительная активность wscript.exe и cscript.exe, неожиданные запуски Curl и PowerShell, а также подключения к localhost:9050 (порт Tor).
Южная Корея против отмывателей: 11 300 счетов и $17 млн ущерба
Правоохранители Южной Кореи задержали 23 подозреваемых по делу об отмывании средств для камбоджийской фишинговой организации. С февраля 2024 по апрель 2025 года группа переместила около 11,1 млн USDT через сложную сеть маршрутизации с использованием как внутренних, так и зарубежных криптобирж. Для отмывания денег злоумышленники использовали около 11 300 различных счетов, связанных с похищенными средствами на сумму примерно $17 млн, полученными в результате 265 инцидентов. В ходе рейдов изъято около $430 000, но предполагаемый организатор все еще на свободе — на него выдан международный ордер Интерпола.
Новый Android-троян Rokarolla: 137 команд и полный контроль над устройством
Исследователи Zimperium обнаружили Android-троян Rokarolla, нацеленный на кражу криптовалют. Его арсенал насчитывает 137 удаленных команд, позволяющих перехватывать PIN-коды, читать СМС, манипулировать буфером обмена и отключать встроенные механизмы защиты ОС. Вредонос распространяется через поддельные сайты, маскирующиеся под инсталляторы TikTok и Google Chrome. Дроппер имитирует системный компонент Google Play Protect и с помощью социальной инженерии вынуждает пользователя выдать доступ к «Специальным возможностям», после чего разворачивает основную нагрузку и отключает настоящий сканер Play Protect.
Rokarolla скачивает фейковые HTML-страницы авторизации для каждого активного приложения из целевого списка, перехватывая реквизиты криптокошельков. Отдельный оверлей имитирует стандартный экран блокировки Android, позволяя украсть PIN-код или графический ключ. Встроенный клиппер подменяет скопированные адреса кошельков, а чтение СМС и возможность отправлять сообщения позволяет обойти двухфакторную аутентификацию. Более того, троян может блокировать входящие вызовы от антифрод-систем банков. Главная защита — бдительность при выдаче разрешений к «Специальным возможностям».
Курьеры для «разделки свиней» и уязвимость в Beats Studio Buds
ФБР предупреждает о новой тактике операторов криптоскамов «разделка свиней»: они начали нанимать курьеров для сбора наличных у жертв, чьи транзакции блокируются банковскими системами безопасности. Мошенники входят в доверие через соцсети, затем убеждают снять наличные под предлогом «заморозки» счета и отправляют курьера с заранее оговоренным паролем. По данным ФБР за 2025 год, криптовалютные и инвестиционные махинации остаются самой разрушительной формой киберпреступности в США: 49% всех инцидентов с совокупным ущербом в $8,6 млрд.
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Она позволяла злоумышленникам в радиусе действия Bluetooth тайно подключаться к наушникам, использовать встроенный микрофон для шпионажа и даже перехватывать доверительные отношения с ранее сопряженными смартфонами. Уязвимость связана с некорректной авторизацией в Bluetooth-аудио SDK от Airoha и успешно устранена в версии прошивки 1B211.
Мой экспертный взгляд: Эта неделя показала, что злоумышленники становятся не просто технически изощреннее, но и психологически более продуманными. Манипуляция краудсорсинговыми платформами и использование «репутационных сетей» — это тревожный сигнал. Инвесторам стоит быть вдвойне осторожными: доверять не только отзывам и рейтингам, но и проверять каждое скачиваемое приложение через несколько независимых источников. USB-черви и Android-трояны напоминают, что базовая гигиена безопасности — регулярные обновления и отказ от подозрительных ссылок — остается вашим главным щитом.