Новости криптомира

20.06.2026
07:35

Аналитика недели: криптоклипперы на стероидах, USB-червь нового поколения и южнокорейский разгром

security_new1

Мир кибербезопасности продолжает преподносить сюрпризы, и на этой неделе мы наблюдали целый ряд атак, которые заставляют пересмотреть привычные подходы к защите цифровых активов. От сложных многоуровневых схем социальной инженерии до аппаратных уязвимостей — угрозы становятся все изощреннее.

Фейковая репутация как оружие: криптоклипперы на GitHub и YouTube

Злоумышленники продемонстрировали новый уровень мастерства, используя легитимные маркетинговые инструменты для создания ложного доверия. В рамках масштабной кампании хакеры развернули целую «экономику репутации», чтобы внедрять криптоклипперы под видом трейдинговых инструментов для Solana и Pump.fun.

Клиппер, написанный на Rust, нацелен на Windows и macOS. Его задача — мониторить буфер обмена и мгновенно подменять адреса кошельков на реквизиты злоумышленников. Но главное — это инфраструктура «сетей-призраков» (Ghost Networks). Фейковые аккаунты на VirusTotal, GitHub, SourceForge и YouTube координированно накручивают лайки, комментарии и скачивания. На SourceForge счетчик был искусственно завышен до 44 000 с помощью фермы Android-устройств. Канал на YouTube с 91 000 подписчиков использует ИИ-голоса для создания обучающих роликов. Это опасный прецедент: успешно обкатанная схема может быть применена для распространения вымогателей и инфостилеров.

USB-червь: саморазмножение через скрытые ярлыки Windows

Эксперты Microsoft раскрыли детали кампании, где USB-червь использует технику самораспространения, скрываясь в модифицированных .LNK-файлах. При открытии такого ярлыка на флешке вредонос скачивает полезную нагрузку с .onion-сервера, сканирует систему на наличие документов, прячет их и подменяет вредоносными ярлыками с теми же названиями.

Червь создает запланированную задачу, которая отслеживает подключение новых USB-дисков и мгновенно копирует себя на них. Он активен только если не запущен «Диспетчер задач». Стилер каждые полсекунды мониторит буфер обмена на наличие сид-фраз BIP39 и адресов Bitcoin, Ethereum, Tron и Monero. При обнаружении — моментальная подмена. Каждые десять секунд делается пять скриншотов. Индикаторы заражения — поведенческие: неожиданные запуски wscript.exe, cscript.exe, Curl, PowerShell и подключения к localhost:9050.

Южная Корея: ликвидация сети отмывания для камбоджийского синдиката

Правоохранители Южной Кореи задержали 23 человека, причастных к отмыванию средств для камбоджийской фишинговой организации. Сеть использовала сложную маршрутизацию через 11 300 счетов на внутренних и зарубежных биржах. С февраля 2024 по апрель 2025 года было перемещено 11,1 млн USDT, связанных с украденными $17 млн в результате 265 инцидентов. Изъято $430 000, но организатор находится в розыске по «красному уведомлению» Интерпола.

Android-троян Rokarolla: 137 команд для полного захвата устройства

Исследователи Zimperium обнаружили троян Rokarolla, который распространяется через фейковые сайты, маскируясь под TikTok или Google Chrome. После установки он имитирует системный компонент Google Play Protect и вынуждает пользователя выдать доступ к «Специальным возможностям». Получив его, троян отключает настоящий Play Protect и разворачивает полный арсенал из 137 удаленных команд.

Rokarolla перехватывает PIN-коды, читает СМС, подменяет буфер обмена для кражи криптовалют и даже блокирует входящие вызовы, чтобы жертва не получила предупреждение от банка. Отдельный оверлей имитирует экран блокировки Android, позволяя украсть пароль. Это еще раз подтверждает: главная защита — бдительность при выдаче разрешений на «Специальные возможности».

Apple исправляет уязвимость в Beats Studio Buds

Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее критическую уязвимость CVE-2025-20701. Брешь, обнаруженная SentinelOne, позволяла хакерам в радиусе Bluetooth подключаться к наушникам без аутентификации и использовать встроенный микрофон для шпионажа. Эксплойт также давал доступ к чтению и перезаписи памяти, а также перехвату доверительных отношений с сопряженными устройствами. Исправление вышло в версии 1B211.

Мнение эксперта: Эта неделя показала, что мы вступаем в эру гибридных атак, где социальная инженерия и технические уязвимости сливаются в единое целое. Особую тревогу вызывает создание фейковой репутации на краудсорсинговых платформах — это подрывает саму основу доверия в открытых экосистемах. Для пользователей это означает, что доверять нельзя ни лайкам, ни звездам, ни даже «проверенным» каналам. Единственный надежный щит — это собственная кибергигиена и многофакторная аутентификация.