Кіберзагрози тижня: USB-хробак для крадіжки криптовалют, троян Rokarolla та вразливість у Beats Studio Buds

На цьому тижні ландшафт кіберзагроз поповнився низкою небезпечних знахідок, націлених на криптоспільноту. Від саморозповсюджувальних черв'яків до складних Android-троянів — зловмисники продовжують вдосконалювати свої методи, використовуючи як технічні вразливості, так і прийоми соціальної інженерії.
USB-черв'як: прихована загроза на вашій флешці
Аналітики Microsoft виявили кампанію з поширення саморозмножувального шкідливого ПЗ, націленого на власників криптовалют. Механізм зараження активується під час відкриття модифікованого файлу ярлика (.LNK) на USB-накопичувачі. Після цього черв'як встановлює зв'язок із командним сервером, розташованим у доменній зоні .onion, і починає сканувати локальну систему.
При виявленні користувацьких документів шкідливе ПЗ приховує оригінали та замінює їх шкідливими ярликами з ідентичними назвами. Таким чином, програма активується щоразу, коли жертва намагається відкрити свої робочі файли. Для саморозповсюдження черв'як створює заплановане завдання, яке копіює його на будь-який новий USB-диск, що підключається до комп'ютера.
Крадіжка криптовалют відбувається через перехоплення буфера обміну. Шкідливе ПЗ відстежує скопійовані дані на наявність 12- та 24-слівних сід-фраз BIP39, а також адрес гаманців Bitcoin, Ethereum, Tron та Monero. При виявленні цільової адреси він миттєво замінює її на реквізити атакуючих. Для обману жертви алгоритм підбирає гаманці, початкові символи яких візуально збігаються з оригінальними.
Головний індикатор зараження — аномальна фонова активність процесів wscript.exe та cscript.exe, а також несанкціоновані підключення до localhost:9050 (стандартний порт Tor).
Rokarolla: новий Android-троян із повним контролем
Дослідники Zimperium виявили троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ поширюється через підроблені сайти, що маскуються під інсталятори TikTok та Google Chrome. Після завантаження він імітує системний компонент Google Play Protect і за допомогою соціальної інженерії змушує жертву надати доступ до «Спеціальних можливостей».
Отримавши дозвіл, троян вимикає справжній сканер Play Protect та розгортає повний функціонал. Він перехоплює PIN-коди, читає СМС та маніпулює буфером обміну для крадіжки криптовалют. Окремий оверлей імітує стандартний екран блокування Android, дозволяючи викрасти пароль або графічний ключ. Для обходу двофакторної автентифікації Rokarolla перехоплює одноразові банківські коди та може блокувати вхідні виклики від антифрод-систем.
Apple закрила небезпечну вразливість у Beats Studio Buds
Компанія Apple випустила оновлення прошивки для бездротових навушників Beats Studio Buds, що усуває вразливість CVE-2025-20701. Проблема, виявлена експертами SentinelOne, дозволяла зловмисникам, які перебувають у радіусі дії Bluetooth, віддалено підключатися до пристрою та використовувати вбудований мікрофон для шпигунства.
Пролом пов'язаний із некоректною авторизацією в Bluetooth-аудіо SDK від розробника чипів Airoha. Експлойт може бути активований через стандартний Bluetooth або протокол BLE без будь-якої автентифікації. Окрім прослуховування, атака надавала практично повний контроль над пристроєм, включаючи можливість читання та перезапису пам'яті, а також перехоплення довірчих відносин із раніше сполученими смартфонами.
Думка експерта: Цей тиждень вкотре демонструє, що кіберзлочинці активно адаптуються до нових реалій. USB-черв'яки, які колись здавалися пережитком минулого, знову стають актуальними завдяки своїй здатності обходити хмарні системи безпеки. Особливу тривогу викликає використання зловмисниками складних методів соціальної інженерії, таких як фейкова репутація на GitHub та YouTube. Власникам криптовалют слід виявляти максимальну пильність: не підключати незнайомі USB-накопичувачі, ретельно перевіряти дозволи для додатків на Android та своєчасно оновлювати прошивки всіх пристроїв, включаючи навушники.