Кибербезопасность недели: USB-червь для кражи криптовалют, уязвимость в Beats Studio Buds и новая тактика мошенников

Аналитический обзор ключевых событий в сфере кибербезопасности за прошедшую неделю: от сложных многоступенчатых атак до новых уязвимостей в популярных устройствах.
USB-червь с функцией самораспространения: новая угроза для держателей криптовалют
Эксперты Microsoft выявили опасную кампанию, в ходе которой злоумышленники используют саморазмножающийся USB-червь для кражи цифровых активов. Заражение происходит при открытии модифицированного файла ярлыка (.LNK) на USB-накопителе. После активации вредонос скрытно загружает дополнительные модули с командного сервера, расположенного в сети Tor.
Червь сканирует локальную систему на предмет пользовательских документов, скрывает оригиналы и заменяет их вредоносными ярлыками с идентичными названиями. Таким образом, каждый раз, когда жертва пытается открыть свои файлы, вредонос активируется повторно. Для самораспространения программа создает задачу, которая отслеживает подключение новых USB-носителей и мгновенно копирует себя на них.
В активной фазе стилер мониторит буфер обмена каждые полсекунды, охотясь за сид-фразами BIP39 и адресами кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении скопированного адреса он мгновенно подменяет его на реквизиты атакующего, причем алгоритм подбирает кошельки, визуально похожие на оригинал. Дополнительно каждые десять секунд вирус делает пять скриншотов экрана и отправляет их хакерам.
Мое экспертное мнение: Эта кампания демонстрирует тревожную эволюцию тактики киберпреступников. Использование USB-носителей для самораспространения и Tor для сокрытия командных серверов — это возвращение к классическим методам, но с современной, криптоориентированной начинкой. Особое внимание стоит уделить тому, что индикаторы заражения носят поведенческий характер, а не сигнатурный, что делает их обнаружение традиционными антивирусами крайне затруднительным.
Фейковая репутация как инструмент распространения криптоклипперов
Специалисты Check Point Research раскрыли масштабную кампанию, в которой злоумышленники создали сложную «экономику репутации» для продвижения вредоносного ПО. Конечная цель — внедрение криптоклипперов под видом легитимных торговых инструментов для Solana и Pump.fun.
Вредонос, написанный на Rust, нацелен на Windows и macOS. Он скрыто мониторит буфер обмена и подменяет скопированные адреса кошельков. Для создания доверия хакеры используют «сети-призраки»: фейковые аккаунты на VirusTotal, GitHub и YouTube, которые накручивают лайки и оставляют положительные отзывы. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств. Для продвижения используется YouTube-канал с более чем 91 000 подписчиков, где ролики создаются с помощью ИИ-генерации голоса.
Apple устранила опасную уязвимость в Beats Studio Buds
Компания Apple выпустила обновление прошивки для беспроводных наушников Beats Studio Buds, закрывающее уязвимость CVE-2025-20701 высокой степени опасности. Проблема, связанная с некорректной авторизацией в Bluetooth-аудио SDK, позволяла злоумышленникам, находящимся в радиусе действия Bluetooth, тайно подключаться к наушникам и активировать встроенный микрофон для шпионажа.
Эксплойт может быть активирован без аутентификации и предоставляет практически полный контроль над устройством, включая чтение и перезапись памяти, а также перехват доверительных отношений с ранее сопряженными смартфонами. Уязвимость устранена в версии прошивки 1B211.
Южнокорейская полиция ликвидировала сеть по отмыванию криптовалют
Правоохранители Южной Кореи задержали 23 подозреваемых, причастных к отмыванию средств для камбоджийской фишинговой организации. С февраля 2024 по апрель 2025 года группа переместила около 11,1 млн USDT через сложную сеть из 11 300 различных счетов на внутренних и зарубежных биржах. Изъято криминальных доходов на сумму около $430 000. Предполагаемый организатор объявлен в международный розыск по «красному уведомлению» Интерпола.
Новый Android-троян Rokarolla и другие угрозы
Исследователи Zimperium обнаружили троян Rokarolla для Android, нацеленный на кражу криптовалют. Его арсенал включает 137 удаленных команд, позволяющих перехватывать PIN-коды, манипулировать буфером обмена и отключать защитные механизмы ОС. Вредонос распространяется через поддельные сайты, маскирующиеся под TikTok и Google Chrome, и получает доступ к «Специальным возможностям» через социальную инженерию.
Кроме того, ФБР предупреждает о новой тактике мошенников, которые нанимают курьеров для сбора наличных у жертв, чьи транзакции блокируются банками. По данным бюро, в 2025 году на криптовалютные и инвестиционные махинации пришлось 49% всех инцидентов с ущербом в $8,6 млрд.