Новости криптомира

20.06.2026
05:35

Кибервойна за криптоактивы: USB-черви, фейковые репутации и новые Android-трояны — дайджест угроз

security_new1

За последнюю неделю ландшафт киберугроз в сфере криптовалют претерпел несколько значительных изменений. Мои коллеги и я проанализировали наиболее опасные инциденты, которые напрямую угрожают как розничным инвесторам, так и институциональным игрокам. От самораспространяющихся USB-червей до сложных схем социальной инженерии — арсенал злоумышленников становится всё изощреннее.

Фейковая репутация как оружие: криптоклипперы на GitHub и YouTube

Злоумышленники развернули кампанию по внедрению криптоклипперов, используя методы легитимного маркетинга для создания ложной «экономики репутации». Конечная цель — подмена данных в буфере обмена для кражи криптовалют под видом инструментов для трейдинга в экосистемах Solana и Pump.fun.

Клиппер, написанный на Rust, нацелен на Windows и macOS. Он скрыто мониторит буфер обмена и при обнаружении скопированного адреса кошелька моментально подменяет его на реквизиты хакера. Для создания доверия злоумышленник выстроил сложную инфраструктуру «сетей-призраков»: на VirusTotal фейковые аккаунты массово оставляли позитивные комментарии, чтобы ложно классифицировать вредоносные файлы как безопасные. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств, а на YouTube используется канал с более чем 91 000 подписчиков для рекламы софта с ИИ-генерированными голосами.

Этот сдвиг в тактике социальной инженерии крайне опасен. Успешно обкатанная схема с кроссплатформенной накруткой репутации в будущем может быть применена для массового распространения программ-вымогателей и более сложных инфостилеров.

USB-червь с функциями самораспространения

Эксперты Microsoft раскрыли детали кампании по распространению саморазмножающегося вредоносного ПО, направленного против владельцев криптовалют. Процесс заражения активируется, когда жертва открывает модифицированный файл ярлыка (.LNK) на USB-накопителе. Червь сканирует систему, скрывает оригиналы документов и подменяет их вредоносными ярлыками. Для самораспространения он создает запланированную задачу, отслеживающую порты, и мгновенно копирует себя на любой новый USB-диск.

Стилер переходит в активную фазу только в том случае, если в системе не запущен «Диспетчер задач». Он устанавливает связь с командным сервером через Tor и каждые полсекунды мониторит буфер обмена на наличие сид-фраз BIP39 и адресов кошельков Bitcoin, Ethereum, Tron и Monero. Более того, каждые десять секунд вирус делает пять снимков экрана и отправляет их хакерам. Активность этого червя фиксируется как минимум с февраля, и главными «красными флагами» являются подозрительная фоновая активность процессов wscript.exe и cscript.exe.

Новый Android-троян Rokarolla: полный контроль над устройством

Исследователи Zimperium обнаружили троян для Android, нацеленный на кражу криптовалют. Арсенал вредоноса Rokarolla насчитывает 137 удаленных команд, позволяющих перехватывать PIN-коды, читать СМС, манипулировать буфером обмена и отключать встроенные механизмы защиты ОС. ПО распространяется через вредоносные сайты, маскирующиеся под инсталляторы TikTok и Google Chrome.

На первом этапе жертва загружает программу, которая имитирует системный компонент Google Play Protect. Используя социальную инженерию, дроппер вынуждает пользователя выдать доступ к «Специальным возможностям», после чего отключает настоящий сканер Play Protect. Отдельный оверлей имитирует стандартный экран блокировки Android, позволяя украсть PIN-код и получить полный контроль над смартфоном даже в заблокированном состоянии.

Курьеры для сбора наличных: новая тактика криптоскамов

ФБР сообщило о новой тактике операторов криптовалютных схем «разделки свиней». Злоумышленники начали нанимать курьеров для сбора средств у жертв, чьи транзакции блокируются банковскими системами безопасности. Убедив жертву снять наличные, мошенники отправляют курьера, который идентифицируется по заранее оговоренному паролю. Получив деньги, хакеры симулируют увеличение баланса в виртуальном кошельке и запускают цикл заново, требуя новых взносов для оплаты вымышленных «налогов».

Уязвимость в Beats Studio Buds: прослушка через Bluetooth

Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Проблема, связанная с некорректной авторизацией в Bluetooth-аудио SDK, позволяла хакеру, находящемуся в радиусе действия Bluetooth, удаленно подключить свое оборудование к наушникам без ведома пользователя. Эксплойт предоставлял практически полный контроль над устройством, включая возможность прослушки через встроенный микрофон.

Мое профессиональное мнение: Мы наблюдаем конвергенцию классических методов кибератак с новыми технологиями — от ИИ-генерации голосов до использования Tor для скрытой коммуникации. Криптоинвесторам необходимо пересмотреть свои привычки безопасности: отказ от использования USB-накопителей от неизвестных источников, тщательная проверка разрешений для приложений на Android и критическое отношение к любой «репутации» в онлайне — вот минимальный набор мер для защиты активов.