Новости криптомира

На этой неделе ландшафт киберугроз для криптосообщества пополнился сразу несколькими опасными векторами атак. От самораспространяющихся USB-червей до сложных Android-троянов — злоумышленники продолжают совершенствовать свои методы. Разберем ключевые события.

USB-червь: новый уровень персистентности

Одной из самых тревожных находок стал USB-червь, который использует скрытые ярлыки Windows для кражи криптовалют. Заражение начинается с открытия модифицированного .LNK-файла на флеш-накопителе. После этого вредонос устанавливает связь с командным сервером в сети Tor и сканирует систему на наличие документов пользователя. Оригиналы файлов скрываются, а на их месте появляются вредоносные ярлыки с теми же названиями — так червь активируется при каждой попытке открыть рабочие файлы.

Особую опасность представляет механизм самораспространения: вирус создает задачу, которая отслеживает подключение новых USB-дисков и мгновенно копирует себя на них. В активную фазу стилер переходит только при отсутствии запущенного «Диспетчера задач». Он мониторит буфер обмена каждые полсекунды, перехватывая сид-фразы BIP39 и адреса кошельков Bitcoin, Ethereum, Tron и Monero. Подмена адресов происходит с визуальной маскировкой — подбираются кошельки с совпадающими начальными символами. Дополнительно каждые десять секунд делается пять скриншотов экрана. Активность червя фиксируется с февраля, и ключевые индикаторы заражения — поведенческие: неожиданные запуски wscript.exe, cscript.exe, Curl и подключения к localhost:9050.

Rokarolla: Android-троян с полным контролем

Исследователи обнаружили новый Android-троян Rokarolla, нацеленный на кражу криптовалют. Его арсенал включает 137 удаленных команд. Вредонос маскируется под установщики TikTok или Google Chrome и на первом этапе имитирует системный компонент Google Play Protect. С помощью социальной инженерии он вынуждает пользователя предоставить доступ к «Специальным возможностям», после чего отключает настоящий сканер Play Protect и разворачивает полную функциональность.

Rokarolla скачивает фейковые HTML-страницы авторизации для каждого криптокошелька из целевого списка. Когда жертва открывает легитимное приложение, троян перекрывает его поддельным окном и перехватывает вводимые данные. Отдельный оверлей имитирует экран блокировки Android, позволяя украсть PIN-код или графический ключ. Встроенный клиппер мониторит буфер обмена и подменяет адреса кошельков. Для обхода 2FA троян читает и отправляет СМС, а также может блокировать входящие звонки от антифрод-систем банков. Главная защита — критически осторожно относиться к запросам на доступ к «Специальным возможностям».

Уязвимость Beats Studio Buds: шпионаж через Bluetooth

Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701 высокой степени опасности. Брешь, связанная с некорректной авторизацией в Bluetooth-аудио SDK от Airoha, позволяла злоумышленникам в радиусе действия Bluetooth удаленно подключаться к наушникам без ведома пользователя — при условии, что гарнитура не сопряжена и находится в режиме поиска. Эксплойт активируется через стандартный Bluetooth или BLE без аутентификации. Помимо прослушки через встроенный микрофон, атака дает практически полный контроль над устройством: чтение и перезапись памяти, а также перехват доверительных отношений с ранее сопряженными смартфонами. Обновление до версии 1B211 обязательно для всех пользователей.

Другие события недели

Среди прочих значимых инцидентов: ликвидация в Южной Корее сети по отмыванию 11,1 млн USDT для камбоджийского синдиката (задержаны 23 человека), а также новая тактика ФБР, где мошенники нанимают курьеров для сбора наличных у жертв, чьи транзакции блокируются банками. Напомню, что по данным ФБР за 2025 год, криптовалютные и инвестиционные махинации составляют 49% всех киберпреступлений в США с ущербом в $8,6 млрд.

Мой комментарий: Тренд на использование USB-червей и сложных Android-троянов с функциями самораспространения и обхода 2FA указывает на профессионализацию крипто-киберпреступности. Особое внимание стоит уделить поведенческим индикаторам — традиционные сигнатурные методы обнаружения здесь уже неэффективны. Пользователям необходимо усилить базовые меры защиты: отключение автозапуска с USB, использование аппаратных кошельков и регулярное обновление прошивок всех Bluetooth-устройств.