Новости криптомира

20.06.2026
07:05

Киберугрозы недели: USB-червь охотится за криптокошельками, Apple латает дыру в Beats Studio Buds, и новый Android-троян

security_new1

Очередная неделя принесла целый букет тревожных сигналов из мира кибербезопасности. От изощренных схем социальной инженерии до аппаратных уязвимостей — злоумышленники не дремлют, а мы разбираем их тактики.

Фейковая репутация на GitHub и YouTube: как продвигают криптоклипперы

Масштабная кампания по распространению вредоносного ПО использует методы, достойные легитимного маркетинга. Злоумышленники создают целые «сети-призраки» (Ghost Networks) для накрутки репутации на GitHub, SourceForge и YouTube. Их цель — внедрение Rust-клиппера, который мониторит буфер обмена и подменяет адреса криптокошельков на Windows и macOS. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств, а на YouTube канал с 91 000 подписчиков рекламирует «инструменты для трейдинга». Эта тактика манипуляции краудсорсинговыми платформами — опасный прецедент, который в будущем могут использовать для распространения программ-вымогателей.

USB-червь с функцией самораспространения

Эксперты Microsoft раскрыли детали кампании, где вредоносное ПО распространяется через USB-накопители. Заражение начинается с открытия модифицированного .LNK-файла. Червь сканирует систему, прячет оригинальные документы и подменяет их вредоносными ярлыками. Для самокопирования на новые USB-диски создается запланированная задача. В активной фазе стилер каждые полсекунды мониторит буфер обмена на предмет сид-фраз BIP39 и адресов кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении адреса он подменяется на реквизиты злоумышленника, причем алгоритм подбирает кошельки с визуально совпадающими начальными символами. Каждые десять секунд делается пять скриншотов экрана. Главные индикаторы заражения — подозрительная активность wscript.exe и cscript.exe, а также несанкционированные подключения к localhost:9050 (порт Tor).

Южная Корея ликвидировала сеть отмывателей криптовалют

Правоохранители Южной Кореи задержали 23 подозреваемых, связанных с камбоджийской фишинговой организацией. С февраля 2024 по апрель 2025 года группа переместила около 11,1 млн USDT через сеть из 11 300 счетов. Эти транзитные учетные записи были связаны с похищенными средствами на $17 млн, полученными в результате 265 инцидентов. Изъято криминальных доходов на $430 000. Организатор группировки пока на свободе, но на него уже выдано «красное уведомление» Интерпола.

Новый Android-троян Rokarolla: 137 команд для кражи

Исследователи Zimperium обнаружили троян Rokarolla, нацеленный на кражу криптовалют. Его арсенал включает 137 удаленных команд. Вредонос маскируется под системный компонент Google Play Protect, вынуждая пользователя выдать доступ к «Специальным возможностям». После этого он отключает настоящий сканер Play Protect и создает фейковые HTML-страницы авторизации для криптокошельков. Отдельный оверлей имитирует экран блокировки Android для кражи PIN-кода. Встроенный клиппер подменяет адреса кошельков в буфере обмена. Для обхода 2FA троян перехватывает СМС и может блокировать входящие вызовы от антифрод-систем банков.

Криптоскамеры нанимают курьеров для сбора наличных

ФБР сообщает о новой тактике в схемах «разделки свиней». Когда банковские системы блокируют подозрительные транзакции, мошенники убеждают жертву снять наличные и отправляют курьера для их получения. Для идентификации используется заранее оговоренный пароль или серийный номер купюры. В 2025 году криптовалютные и инвестиционные махинации составили 49% всех киберинцидентов в США с ущербом в $8,6 млрд.

Apple исправила опасную уязвимость в Beats Studio Buds

Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Брешь, обнаруженная SentinelOne, позволяла хакеру в радиусе действия Bluetooth тайно подключаться к наушникам и использовать встроенный микрофон для шпионажа. Проблема связана с некорректной авторизацией в Bluetooth-аудио SDK. Эксплойт также позволял читать и перезаписывать память наушников и перехватывать доверительные отношения с ранее сопряженными смартфонами, открывая вектор для многоступенчатых атак. Уязвимость устранена в версии прошивки 1B211.

Мнение эксперта: Эта неделя наглядно демонстрирует, что киберугрозы становятся все более комплексными и междисциплинарными. Злоумышленники уже не просто пишут вредоносный код — они выстраивают целые экосистемы для его продвижения и маскировки. От поддельной репутации на GitHub до физических курьеров для сбора наличных — атаки эволюционируют. Инвесторам и пользователям стоит удвоить бдительность: не доверять слепо «звездам» на GitHub, не подключать подозрительные USB-накопители и внимательно проверять разрешения, которые вы даете мобильным приложениям.