Киберугрозы недели: USB-черви, Android-трояны и фейковые репутации в мире криптовалют

На этой неделе ландшафт кибербезопасности в криптосфере пополнился рядом тревожных инцидентов. Злоумышленники активно совершенствуют свои методы, используя как социальную инженерию, так и сложные технические решения. В этом обзоре я разберу ключевые события, которые требуют пристального внимания каждого участника рынка.
Фейковые репутации и криптоклипперы: новая эра социальной инженерии
Масштабная кампания по распространению вредоносного ПО, нацеленного на кражу криптовалют, была развернута с использованием поддельных репутационных систем. Злоумышленник создал сложную инфраструктуру «сетей-призраков» на платформах вроде GitHub, YouTube и VirusTotal. Основной инструмент — криптоклиппер, написанный на Rust и работающий на Windows и macOS. Он мониторит буфер обмена и подменяет скопированные адреса кошельков на реквизиты атакующего.
Для повышения доверия хакер использует накрученные лайки, фейковые аккаунты и даже ИИ-генерированные голоса в обучающих видео. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств. Этот подход — опасный сдвиг в тактике, который может быть использован для распространения более сложных угроз, включая программы-вымогатели.
USB-червь: саморазмножение через скрытые ярлыки Windows
Эксперты Microsoft раскрыли детали кампании, в которой используется саморазмножающийся червь. Заражение начинается с открытия модифицированного файла ярлыка (.LNK) на USB-накопителе. После этого вредонос сканирует систему, скрывает оригинальные документы и подменяет их вредоносными ярлыками с теми же названиями. Каждый раз, когда пользователь пытается открыть свои файлы, активируется вредоносное ПО.
Червь использует Tor для связи с командным сервером и мониторит буфер обмена на наличие сид-фраз BIP39 и адресов кошельков (Bitcoin, Ethereum, Tron, Monero). При обнаружении он подменяет их на адреса злоумышленника. Каждые десять секунд делаются пять скриншотов экрана. Активность фиксируется как минимум с февраля, и главные индикаторы заражения — поведенческие, а не сигнатурные.
Android-троян Rokarolla: полный контроль над устройством
Исследователи из Zimperium обнаружили новый Android-троян Rokarolla, который обладает 137 удаленными командами. Он распространяется через вредоносные сайты, маскирующиеся под установщики TikTok или Google Chrome. На первом этапе жертва загружает программу, которая имитирует системный компонент Google Play Protect, и с помощью социальной инженерии получает доступ к «Специальным возможностям».
После этого троян отключает настоящий сканер Play Protect и может перехватывать PIN-коды, читать и отправлять СМС, а также подменять буфер обмена для кражи криптовалют. Он также создает фейковые HTML-страницы авторизации для криптокошельков и может имитировать экран блокировки Android. Для обхода 2FA троян перехватывает одноразовые коды из СМС и может блокировать входящие вызовы от антифрод-систем банков.
Уязвимость в Beats Studio Buds: шпионаж через наушники
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Эта брешь, обнаруженная экспертами SentinelOne, позволяла злоумышленникам в радиусе действия Bluetooth подключаться к наушникам без ведома пользователя и использовать встроенный микрофон для шпионажа. Проблема была связана с некорректной авторизацией в Bluetooth-аудио SDK. Уязвимость давала практически полный контроль над устройством, включая чтение и перезапись памяти, а также перехват доверительных отношений с ранее сопряженными смартфонами.
Мой комментарий: Эта неделя ясно показывает, что злоумышленники переходят от простых фишинговых атак к комплексным многоуровневым схемам. Особенно тревожит использование фейковых репутаций и социальной инженерии на платформах, которым мы привыкли доверять. Владельцам криптовалют стоит быть предельно осторожными при установке любого ПО, особенно если оно обещает легкие заработки. Регулярные обновления прошивок и бдительность при выдаче разрешений — ваша первая линия обороны.