Новости криптомира

20.06.2026
10:35

Киберугрозы недели: USB-червь охотится за криптокошельками, Apple латает дыру в Beats, и новый Android-троян крадет сид-фразы

security_new1

На этой неделе ландшафт киберугроз пополнился сразу несколькими изощренными атаками, нацеленными на криптосообщество. От самораспространяющихся червей через USB до сложных фишинговых схем на GitHub — злоумышленники не оставляют попыток добраться до цифровых активов. Разберем ключевые инциденты.

Криптоклиппер под прикрытием фейковой репутации

Мошенники развернули масштабную кампанию по продвижению вредоносного клиппера, написанного на Rust. Этот троян нацелен на Windows и macOS и подменяет адреса кошельков в буфере обмена. Уникальность схемы — в создании «экономики репутации»: злоумышленники используют сети фейковых аккаунтов на VirusTotal, GitHub и YouTube, чтобы искусственно накручивать рейтинги и оставлять положительные отзывы. На SourceForge счетчик скачиваний был доведен до 44 000 через ферму Android-устройств. На YouTube канал с 91 000 подписчиков рекламирует вредонос под видом трейдинговых инструментов для Solana и Pump.fun. Это опасный прецедент: подобная тактика может быть использована для массового распространения программ-вымогателей.

USB-червь с функциями стилера и самораспространения

Эксперты выявили активность USB-червя, который использует скрытые ярлыки Windows для кражи криптовалют. Заражение начинается при открытии модифицированного .LNK-файла на флешке. Вредонос сканирует систему, прячет пользовательские документы и подменяет их вредоносными ярлыками. Для самораспространения червь создает задачу, которая копирует его на любой новый USB-носитель. В активной фазе он через Tor подключается к командному серверу и каждые полсекунды мониторит буфер обмена на наличие сид-фраз BIP39 и адресов Bitcoin, Ethereum, Tron и Monero. При обнаружении происходит моментальная подмена на адрес атакующего, причем алгоритм подбирает кошельки с визуально похожими первыми символами. Индикаторы заражения — аномальная активность wscript.exe и cscript.exe, а также подключения к localhost:9050.

Южнокорейская полиция накрыла сеть отмывателей USDT

В Южной Корее задержаны 23 подозреваемых, причастных к отмыванию средств для камбоджийской фишинговой группы. С февраля 2024 по апрель 2025 года через сеть из 11 300 счетов было перемещено около 11,1 млн USDT. Эти счета были связаны с похищенными средствами на $17 млн, полученными в результате 265 инцидентов. В ходе рейдов изъято около $430 000. Организатор группировки объявлен в международный розыск по линии Интерпола.

Rokarolla: новый Android-троян с полным захватом устройства

Исследователи обнаружили троян Rokarolla, который распространяется через поддельные сайты, маскирующиеся под установщики TikTok и Chrome. После получения доступа к «Специальным возможностям» вредонос отключает Google Play Protect и разворачивает арсенал из 137 команд. Он перехватывает PIN-коды, читает СМС, подменяет буфер обмена для кражи криптовалют и даже имитирует экран блокировки Android. Для обхода 2FA троян может самостоятельно отправлять сообщения, перехватывая банковские коды, и блокировать входящие звонки от антифрод-систем.

Apple закрывает уязвимость в Beats Studio Buds

Apple выпустила обновление прошивки для Beats Studio Buds, устраняющее критическую уязвимость CVE-2025-20701. Брешь в Bluetooth-стеке позволяла хакерам в радиусе действия подключаться к наушникам без аутентификации, активировать микрофон для прослушки и даже перехватывать доверительные отношения с ранее сопряженными iPhone. Уязвимость была обнаружена еще в январе и теперь закрыта в версии прошивки 1B211.

Мнение аналитика: Эта неделя наглядно демонстрирует эволюцию угроз: от простых фишинговых ссылок до сложных многоуровневых атак с использованием социальной инженерии, поддельной репутации и физического доступа через USB. Криптосообществу необходимо проявлять максимальную бдительность, особенно при установке непроверенного ПО и подключении внешних накопителей.