Киберугрозы недели: USB-червь атакует криптокошельки, Apple латает дыру в Beats, и новый Android-троян

Прошедшая неделя в сфере кибербезопасности выдалась насыщенной: от сложных многоступенчатых атак на криптоинвесторов до критических уязвимостей в популярных гаджетах. Разберем ключевые события, которые нельзя игнорировать.
USB-червь с функцией самораспространения: новая угроза для Windows
Эксперты Microsoft детально описали кампанию по распространению саморазмножающегося вредоноса, нацеленного на кражу криптовалют. Процесс заражения запускается при открытии модифицированного .LNK-файла на USB-накопителе. Далее червь скрытно подключается к командному серверу через сеть Tor и начинает сканирование системы.
Его ключевая особенность — подмена оригинальных пользовательских документов на вредоносные ярлыки с теми же названиями. Каждый раз, когда жертва пытается открыть свой файл, активируется вредонос. Для распространения на новые USB-носители создается запланированная задача, которая мгновенно копирует вирус при подключении нового диска.
В активной фазе стилер мониторит буфер обмена каждые полсекунды, подменяя адреса кошельков Bitcoin, Ethereum, Tron и Monero, а также похищая 12- и 24-словные сид-фразы BIP39. Алгоритм подбирает кошельки, начальные символы которых визуально совпадают с оригинальными, чтобы жертва не заметила подмены. Дополнительно, каждые десять секунд делается пять скриншотов экрана. Главные индикаторы заражения — аномальная активность процессов wscript.exe и cscript.exe, а также подключения к localhost:9050 (порт Tor).
Apple закрывает уязвимость в Beats Studio Buds
Компания Apple выпустила обновление прошивки (версия 1B211) для беспроводных наушников Beats Studio Buds, устраняющее критическую уязвимость CVE-2025-20701. Проблема, обнаруженная в Bluetooth-аудио SDK от Airoha, позволяла злоумышленнику в радиусе действия Bluetooth удаленно подключаться к наушникам без согласия пользователя, если гарнитура находилась в режиме поиска сопряжения.
Эксплойт давал хакеру доступ к встроенному микрофону для прослушки, а также возможность читать и перезаписывать оперативную и флеш-память устройства. Более того, атакующий мог перехватывать доверительные отношения с ранее сопряженными iPhone, открывая путь к более сложным многоступенчатым атакам. Настоятельно рекомендую всем владельцам Beats Studio Buds немедленно установить обновление.
Android-троян Rokarolla: полный контроль над устройством
Исследователи Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос распространяется через поддельные сайты, маскирующиеся под установщики TikTok или Google Chrome. На первом этапе он имитирует системный компонент Google Play Protect и через социальную инженерию вынуждает пользователя выдать доступ к «Специальным возможностям».
Получив разрешение, троян отключает настоящий сканер Play Protect и загружает фейковые HTML-страницы авторизации для криптокошельков. Когда жертва открывает легитимное приложение, Rokarolla перекрывает его поддельным окном и перехватывает вводимые данные. Отдельный оверлей имитирует экран блокировки Android для кражи PIN-кода. Встроенный клиппер подменяет адреса кошельков в буфере обмена. Для обхода 2FA троян читает и отправляет СМС, а также может блокировать входящие звонки от антифрод-систем банков.
Экспертное резюме
Тренд этой недели — усложнение векторов атак. Мы видим не просто отдельные вредоносы, а целые экосистемы: от USB-червей с собственным каналом управления через Tor до троянов, способных полностью парализовать работу смартфона. Особую тревогу вызывает использование USB-червями скрытых ярлыков — это элегантный и опасный метод персистентности, который сложно обнаружить традиционными сигнатурными методами. Рекомендую пользователям Windows обращать внимание на поведенческие аномалии системы, а владельцам Android — критически относится к любым запросам на доступ к «Специальным возможностям».