Новости криптомира

20.06.2026
06:50

Киберугрозы недели: USB-червь нацелился на криптокошельки, Apple латает дыру в Beats Studio Buds, и новая волна Android-троянов

security_new1

Прошедшая неделя в сфере кибербезопасности выдалась насыщенной: от изощрённых схем социальной инженерии до аппаратных уязвимостей. Разберём ключевые события, которые должны быть на радаре каждого, кто работает с цифровыми активами.

Фейковая репутация как оружие: криптоклипперы нового поколения

Злоумышленники вывели на новый уровень тактику создания доверия. Вместо единичных фишинговых писем они развернули целую инфраструктуру «сетей-призраков» для продвижения вредоносного криптоклиппера. Этот Rust-based троян, маскирующийся под трейдинговые инструменты для Solana и Pump.fun, отслеживает буфер обмена и мгновенно подменяет адреса кошельков.

Что особенно тревожно — атакующие манипулируют рейтингами на GitHub, SourceForge и YouTube. Они используют фермы аккаунтов для накрутки лайков, звёзд и положительных отзывов. На SourceForge скачивания были искусственно завышены до 44 000 с помощью Android-ферм. Даже VirusTotal оказался под ударом: кластер поддельных аккаунтов ложно маркировал вредоносные файлы как безопасные. Это опасный прецедент, показывающий, что краудсорсинговые платформы больше не являются надёжным источником валидации.

USB-червь с Tor-управлением: скрытая угроза для Windows

Эксперты Microsoft раскрыли механизм работы саморазмножающегося червя, нацеленного на кражу криптовалют. Заражение начинается с открытия модифицированного .LNK-файла на USB-накопителе. После этого червь скрывает оригинальные документы пользователя и подменяет их вредоносными ярлыками, активируясь при каждом клике.

Ключевая особенность — использование Tor для связи с командным сервером в домене .onion. Вредонос каждые полсекунды мониторит буфер обмена на наличие сид-фраз BIP39 и адресов Bitcoin, Ethereum, Tron и Monero. При обнаружении он подменяет адрес на реквизиты атакующего, причём алгоритм подбирает визуально похожие начальные символы. Дополнительно вирус делает снимки экрана каждые десять секунд и может исполнять произвольные JavaScript-сценарии. Активность фиксируется с февраля, и главный индикатор — подозрительная активность процессов wscript.exe и cscript.exe.

Южная Корея: ликвидация сети отмывания на $17 млн

Правоохранители Южной Кореи задержали 23 подозреваемых, причастных к отмыванию средств для камбоджийской фишинговой организации. За период с февраля 2024 по апрель 2025 года группа переместила около 11,1 млн USDT через сеть из 11 300 счетов. Эти счета были связаны с похищенными средствами на $17 млн, полученными в результате 265 инцидентов. Изъято около $430 000, но предполагаемый организатор скрылся и объявлен в международный розыск по «красному уведомлению» Интерпола. Это наглядный пример того, как сложные транзитные схемы пытаются скрыть следы криптовалютных преступлений.

Rokarolla: Android-троян с полным контролем над устройством

Исследователи Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удалённых команд. Он распространяется через поддельные сайты, маскирующиеся под установщики TikTok и Google Chrome. После получения доступа к «Специальным возможностям» троян отключает Play Protect и разворачивает оверлейные атаки.

Rokarolla подделывает экран блокировки Android для кражи PIN-кодов, перехватывает СМС для обхода 2FA и использует встроенный клиппер для подмены адресов криптокошельков. Более того, он может блокировать входящие вызовы, чтобы предупреждения от банков не доходили до жертвы. Единственная надёжная защита — предельная осторожность при выдаче разрешений на «Специальные возможности».

Курьеры для сбора наличных: новая тактика «свинорезов»

ФБР предупреждает о новой тактике мошенников, использующих схемы «разделки свиней». Когда банковские системы блокируют подозрительные транзакции, злоумышленники отправляют курьеров для сбора наличных у жертв. Они убеждают людей снять деньги под предлогом «заморозки» счёта, а затем симулируют увеличение баланса в фейковом кошельке. По данным ФБР, в 2025 году на криптовалютные и инвестиционные махинации пришлось 49% всех инцидентов с ущербом в $8,6 млрд. Это напоминание, что даже офлайн-взаимодействие не гарантирует безопасность.

Уязвимость Beats Studio Buds: Apple закрывает дыру для шпионажа

Apple выпустила обновление прошивки для Beats Studio Buds, устраняющее критическую уязвимость CVE-2025-20701. Брешь в Bluetooth-аудио SDK от Airoha позволяла злоумышленникам в радиусе действия подключаться к наушникам без авторизации и активировать микрофон для прослушки. Эксплойт также давал доступ к оперативной и флеш-памяти устройства, а также позволял перехватывать доверительные отношения с ранее сопряжёнными iPhone. Уязвимость устранена в версии прошивки 1B211. Это серьёзный сигнал о том, что даже периферийные устройства могут стать вектором атаки на криптокошельки и личные данные.

Экспертный комментарий Cryptalist: Прошедшая неделя чётко демонстрирует эволюцию угроз: от простого фишинга к многоуровневым атакам с использованием социальной инженерии, манипуляции репутацией и аппаратных уязвимостей. Криптосообществу необходимо пересмотреть свои модели безопасности, делая акцент на поведенческом анализе и аппаратных кошельках, а не только на антивирусных решениях.