Криптоугрозы недели: USB-червь для кражи сид-фраз, Android-троян с полным захватом устройства и уязвимость Beats Studio Buds

Мир криптобезопасности продолжает демонстрировать эволюцию угроз: от сложных социальных инженерий до аппаратных брешей. На этой неделе мы наблюдаем целый каскад атак, направленных на владельцев цифровых активов, и каждая из них заслуживает пристального внимания.
USB-червь: новый уровень самораспространения
Специалисты Microsoft выявили кампанию по распространению саморазмножающегося вредоноса, который использует скрытые ярлыки Windows. Заразив систему через USB-накопитель, червь скрывает оригинальные пользовательские файлы и подменяет их вредоносными .LNK-файлами. Каждый раз, когда жертва пытается открыть документ, активируется вирус, который затем копирует себя на новые флешки через запланированную задачу.
Вредонос написан на Rust и нацелен на кражу криптовалют: он мониторит буфер обмена, подменяя адреса кошельков Bitcoin (включая Taproot), Ethereum, Tron и Monero на реквизиты злоумышленника. Особую опасность представляет перехват 12- и 24-словных сид-фраз BIP39. Для связи с командным сервером червь использует встроенный Tor, а каждые десять секунд делает снимки экрана. Главный индикатор заражения — аномальная активность wscript.exe и cscript.exe.
Android-троян Rokarolla: полный захват устройства
Исследователи Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос маскируется под установщики TikTok и Google Chrome, а на первом этапе имитирует системный компонент Google Play Protect. Получив доступ к «Специальным возможностям», он отключает настоящий сканер Play Protect и разворачивает полную атаку.
Rokarolla перехватывает PIN-коды, читает и отправляет СМС, а также использует встроенный клиппер для подмены адресов криптокошельков. Для преодоления 2FA троян перехватывает одноразовые банковские коды и блокирует входящие вызовы от антифрод-систем. Кроме того, он способен имитировать стандартный экран блокировки Android, чтобы украсть графический ключ или пароль.
Уязвимость в Beats Studio Buds: прослушка через Bluetooth
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Брешь, обнаруженная специалистами SentinelOne, позволяла хакерам в радиусе действия Bluetooth подключаться к наушникам без аутентификации и использовать встроенный микрофон для шпионажа. Уязвимость давала доступ к чтению и перезаписи оперативной и флеш-памяти, а также к перехвату доверительных отношений с ранее сопряженными смартфонами.
Другие события недели
- Криптоклипперы распространяются через фейковую репутацию на GitHub и YouTube, используя «сети-призраки» для накрутки лайков и скачиваний.
- Правоохранители Южной Кореи ликвидировали сеть по отмыванию 11,1 млн USDT для камбоджийского фишингового синдиката, используя 11 300 счетов.
- ФБР предупреждает о новой тактике: мошенники нанимают курьеров для сбора наличных у жертв криптоскамов, когда банки блокируют транзакции.
- Устаревший контракт в сети Aztec подвергся взлому на $2 млн.
Экспертный комментарий: Текущая волна атак демонстрирует, что злоумышленники перешли от простых фишинговых схем к многоступенчатым операциям с использованием самораспространяющихся червей и троянов с полным захватом устройств. Особую тревогу вызывает интеграция Tor в USB-червь — это делает традиционные методы обнаружения на основе сигнатур практически бесполезными. Рекомендую пользователям обновить прошивки всех Bluetooth-устройств, отключить автозапуск с USB-носителей и внимательно проверять выдачу разрешений на Android.