Новости криптомира

20.06.2026
06:35

Киберугрозы недели: USB-червь атакует криптокошельки, Apple латает дыру в Beats, и новый Android-троян

security_new1

Прошедшая неделя в сфере кибербезопасности выдалась насыщенной: от сложных многоступенчатых атак на криптоинвесторов до критических уязвимостей в популярных гаджетах. Разберем ключевые события, которые нельзя игнорировать.

USB-червь с функцией самораспространения: новая угроза для Windows

Эксперты Microsoft детально описали кампанию по распространению саморазмножающегося вредоноса, нацеленного на кражу криптовалют. Процесс заражения запускается при открытии модифицированного .LNK-файла на USB-накопителе. Далее червь скрытно подключается к командному серверу через сеть Tor и начинает сканирование системы.

Его ключевая особенность — подмена оригинальных пользовательских документов на вредоносные ярлыки с теми же названиями. Каждый раз, когда жертва пытается открыть свой файл, активируется вредонос. Для распространения на новые USB-носители создается запланированная задача, которая мгновенно копирует вирус при подключении нового диска.

В активной фазе стилер мониторит буфер обмена каждые полсекунды, подменяя адреса кошельков Bitcoin, Ethereum, Tron и Monero, а также похищая 12- и 24-словные сид-фразы BIP39. Алгоритм подбирает кошельки, начальные символы которых визуально совпадают с оригинальными, чтобы жертва не заметила подмены. Дополнительно, каждые десять секунд делается пять скриншотов экрана. Главные индикаторы заражения — аномальная активность процессов wscript.exe и cscript.exe, а также подключения к localhost:9050 (порт Tor).

Apple закрывает уязвимость в Beats Studio Buds

Компания Apple выпустила обновление прошивки (версия 1B211) для беспроводных наушников Beats Studio Buds, устраняющее критическую уязвимость CVE-2025-20701. Проблема, обнаруженная в Bluetooth-аудио SDK от Airoha, позволяла злоумышленнику в радиусе действия Bluetooth удаленно подключаться к наушникам без согласия пользователя, если гарнитура находилась в режиме поиска сопряжения.

Эксплойт давал хакеру доступ к встроенному микрофону для прослушки, а также возможность читать и перезаписывать оперативную и флеш-память устройства. Более того, атакующий мог перехватывать доверительные отношения с ранее сопряженными iPhone, открывая путь к более сложным многоступенчатым атакам. Настоятельно рекомендую всем владельцам Beats Studio Buds немедленно установить обновление.

Android-троян Rokarolla: полный контроль над устройством

Исследователи Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос распространяется через поддельные сайты, маскирующиеся под установщики TikTok или Google Chrome. На первом этапе он имитирует системный компонент Google Play Protect и через социальную инженерию вынуждает пользователя выдать доступ к «Специальным возможностям».

Получив разрешение, троян отключает настоящий сканер Play Protect и загружает фейковые HTML-страницы авторизации для криптокошельков. Когда жертва открывает легитимное приложение, Rokarolla перекрывает его поддельным окном и перехватывает вводимые данные. Отдельный оверлей имитирует экран блокировки Android для кражи PIN-кода. Встроенный клиппер подменяет адреса кошельков в буфере обмена. Для обхода 2FA троян читает и отправляет СМС, а также может блокировать входящие звонки от антифрод-систем банков.

Экспертное резюме

Тренд этой недели — усложнение векторов атак. Мы видим не просто отдельные вредоносы, а целые экосистемы: от USB-червей с собственным каналом управления через Tor до троянов, способных полностью парализовать работу смартфона. Особую тревогу вызывает использование USB-червями скрытых ярлыков — это элегантный и опасный метод персистентности, который сложно обнаружить традиционными сигнатурными методами. Рекомендую пользователям Windows обращать внимание на поведенческие аномалии системы, а владельцам Android — критически относится к любым запросам на доступ к «Специальным возможностям».