Новости криптомира

20.06.2026
11:10

Неделя киберугроз: USB-червь охотится за криптокошельками, Apple латает дыру в Beats, и новые схемы отмывания

security_new1

Минувшая неделя в сфере кибербезопасности выдалась насыщенной на события, напрямую затрагивающие интересы держателей криптовалют. От эволюционирующих троянов до сложных схем социальной инженерии — разберём ключевые угрозы, которые нельзя игнорировать.

Новый виток фишинга: фейковая репутация на GitHub и YouTube

Злоумышленники освоили поистине профессиональный маркетинговый подход. Вместо грубых фишинговых писем они строят целые «сети-призраки» для продвижения вредоносного ПО. Основная цель — криптоклиппер, написанный на Rust и нацеленный на Windows и macOS. Он незаметно подменяет адреса кошельков в буфере обмена, перенаправляя средства атакующих.

Чтобы вызвать доверие, хакеры создают фальшивую репутацию на платформах вроде VirusTotal, GitHub и YouTube. Сотни ботов оставляют положительные отзывы и «лайкают» вредоносные файлы. На SourceForge скачивания были накручены до 44 000 с помощью фермы Android-устройств. Для убедительности используется YouTube-канал с более чем 91 000 подписчиков и ИИ-сгенерированными голосами в обучающих роликах. Это опасный тренд: манипуляция краудсорсинговыми платформами делает социальную инженерию почти неуловимой.

USB-червь с функциями самораспространения

Эксперты Microsoft раскрыли детали кампании с использованием саморазмножающегося червя. Заражение начинается с открытия модифицированного .LNK-файла на USB-накопителе. Вредонос сканирует систему, прячет оригинальные документы пользователя и заменяет их вредоносными ярлыками. Каждый раз, когда жертва пытается открыть файл, червь активируется вновь.

Его главная цель — кража криптовалют. Вредонос мониторит буфер обмена каждые полсекунды, выискивая сид-фразы BIP39 и адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении он подменяет адрес на свой, причём алгоритм подбирает кошельки с визуально похожими начальными символами. Кроме того, каждые десять секунд делаются скриншоты. Самое тревожное — активность червя фиксируется с февраля, а выявить его можно только по поведенческим аномалиям, таким как неожиданные запуски wscript.exe или подключения к localhost:9050.

Южная Корея против криптоотмывателей

Правоохранители Южной Кореи задержали 23 человека по делу об отмывании средств для камбоджийской фишинговой группировки. С февраля 2024 по апрель 2025 года через сеть из 11 300 счетов было перемещено около 11,1 млн USDT. Общая сумма похищенных средств оценивается в $17 млн. Изъято около $430 000, но предполагаемый организатор всё ещё в розыске по «красному уведомлению» Интерпола.

Android-троян Rokarolla: полный контроль над устройством

Исследователи Zimperium обнаружили троян Rokarolla с арсеналом из 137 удаленных команд. Он распространяется через поддельные сайты, маскируясь под установщики TikTok или Chrome. После получения доступа к «Специальным возможностям» он отключает Play Protect и разворачивает полный функционал.

Троян умеет перехватывать PIN-коды, читать СМС, подменять буфер обмена и даже блокировать входящие звонки, чтобы жертва не получила предупреждение от банка. Отдельный оверлей имитирует экран блокировки Android, позволяя украсть графический ключ. Это серьёзная угроза, и единственная защита — предельная осторожность при выдаче разрешений.

Курьеры для сбора наличных и уязвимость в Beats

ФБР предупреждает о новой тактике в схемах «разделки свиней»: мошенники нанимают курьеров для сбора наличных у жертв, чьи банковские транзакции блокируются. В 2025 году криптоинвестиционные махинации составили 49% всех киберинцидентов в США с ущербом в $8,6 млрд.

Тем временем Apple закрыла опасную уязвимость CVE-2025-20701 в Beats Studio Buds. Она позволяла хакерам в радиусе действия Bluetooth подключаться к наушникам без авторизации, активировать микрофон для прослушки и даже перехватывать доверительные отношения с ранее сопряженными iPhone. Обновление прошивки версии 1B211 устраняет проблему.

Мнение эксперта: Рынок киберугроз явно переходит на новый уровень профессионализма. Мы видим не просто вирусы, а целые экосистемы с маркетингом, логистикой и сложной инфраструктурой. Для держателей криптовалют это означает одно: базовой гигиены — антивируса и сложных паролей — больше недостаточно. Необходимо критически оценивать любые сторонние ссылки, файлы и даже «проверенные» репозитории.