Неделя киберугроз: USB-червь охотится за криптокошельками, Apple латает дыру в Beats, и новые схемы отмывания

Минувшая неделя в сфере кибербезопасности выдалась насыщенной на события, напрямую затрагивающие интересы держателей криптовалют. От эволюционирующих троянов до сложных схем социальной инженерии — разберём ключевые угрозы, которые нельзя игнорировать.
Новый виток фишинга: фейковая репутация на GitHub и YouTube
Злоумышленники освоили поистине профессиональный маркетинговый подход. Вместо грубых фишинговых писем они строят целые «сети-призраки» для продвижения вредоносного ПО. Основная цель — криптоклиппер, написанный на Rust и нацеленный на Windows и macOS. Он незаметно подменяет адреса кошельков в буфере обмена, перенаправляя средства атакующих.
Чтобы вызвать доверие, хакеры создают фальшивую репутацию на платформах вроде VirusTotal, GitHub и YouTube. Сотни ботов оставляют положительные отзывы и «лайкают» вредоносные файлы. На SourceForge скачивания были накручены до 44 000 с помощью фермы Android-устройств. Для убедительности используется YouTube-канал с более чем 91 000 подписчиков и ИИ-сгенерированными голосами в обучающих роликах. Это опасный тренд: манипуляция краудсорсинговыми платформами делает социальную инженерию почти неуловимой.
USB-червь с функциями самораспространения
Эксперты Microsoft раскрыли детали кампании с использованием саморазмножающегося червя. Заражение начинается с открытия модифицированного .LNK-файла на USB-накопителе. Вредонос сканирует систему, прячет оригинальные документы пользователя и заменяет их вредоносными ярлыками. Каждый раз, когда жертва пытается открыть файл, червь активируется вновь.
Его главная цель — кража криптовалют. Вредонос мониторит буфер обмена каждые полсекунды, выискивая сид-фразы BIP39 и адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении он подменяет адрес на свой, причём алгоритм подбирает кошельки с визуально похожими начальными символами. Кроме того, каждые десять секунд делаются скриншоты. Самое тревожное — активность червя фиксируется с февраля, а выявить его можно только по поведенческим аномалиям, таким как неожиданные запуски wscript.exe или подключения к localhost:9050.
Южная Корея против криптоотмывателей
Правоохранители Южной Кореи задержали 23 человека по делу об отмывании средств для камбоджийской фишинговой группировки. С февраля 2024 по апрель 2025 года через сеть из 11 300 счетов было перемещено около 11,1 млн USDT. Общая сумма похищенных средств оценивается в $17 млн. Изъято около $430 000, но предполагаемый организатор всё ещё в розыске по «красному уведомлению» Интерпола.
Android-троян Rokarolla: полный контроль над устройством
Исследователи Zimperium обнаружили троян Rokarolla с арсеналом из 137 удаленных команд. Он распространяется через поддельные сайты, маскируясь под установщики TikTok или Chrome. После получения доступа к «Специальным возможностям» он отключает Play Protect и разворачивает полный функционал.
Троян умеет перехватывать PIN-коды, читать СМС, подменять буфер обмена и даже блокировать входящие звонки, чтобы жертва не получила предупреждение от банка. Отдельный оверлей имитирует экран блокировки Android, позволяя украсть графический ключ. Это серьёзная угроза, и единственная защита — предельная осторожность при выдаче разрешений.
Курьеры для сбора наличных и уязвимость в Beats
ФБР предупреждает о новой тактике в схемах «разделки свиней»: мошенники нанимают курьеров для сбора наличных у жертв, чьи банковские транзакции блокируются. В 2025 году криптоинвестиционные махинации составили 49% всех киберинцидентов в США с ущербом в $8,6 млрд.
Тем временем Apple закрыла опасную уязвимость CVE-2025-20701 в Beats Studio Buds. Она позволяла хакерам в радиусе действия Bluetooth подключаться к наушникам без авторизации, активировать микрофон для прослушки и даже перехватывать доверительные отношения с ранее сопряженными iPhone. Обновление прошивки версии 1B211 устраняет проблему.
Мнение эксперта: Рынок киберугроз явно переходит на новый уровень профессионализма. Мы видим не просто вирусы, а целые экосистемы с маркетингом, логистикой и сложной инфраструктурой. Для держателей криптовалют это означает одно: базовой гигиены — антивируса и сложных паролей — больше недостаточно. Необходимо критически оценивать любые сторонние ссылки, файлы и даже «проверенные» репозитории.