Криптозагрози тижня: USB-хробак проти Windows, Android-троян Rokarolla та вразливість у Beats Studio Buds

Цього тижня ландшафт кіберзагроз для криптоспільноти поповнився одразу кількома небезпечними векторами атак. Від саморозмножувальних черв'яків до складних Android-троянів — зловмисники продовжують удосконалювати інструментарій. Розглянемо ключові події у сфері криптобезпеки.
USB-черв'як із функцією стілера: нова загроза для власників криптовалют
Фахівці Microsoft розкрили деталі кампанії з поширення саморозмножувального шкідливого ПЗ, спрямованого на крадіжку цифрових активів. Зараження відбувається під час відкриття модифікованого ярлика (.LNK) на USB-накопичувачі. Після активації черв'як приховано завантажує корисні навантаження з командного сервера в домені .onion.
Механізм зараження надзвичайно підступний: шкідливе ПЗ сканує систему, приховує оригінальні документи користувача та замінює їх ярликами з ідентичними назвами. Щоразу, коли жертва намагається відкрити свій файл, вірус активується знову. Для саморозповсюдження черв'як створює заплановане завдання, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них.
В активній фазі стілер моніторить буфер обміну кожні півсекунди, вишукуючи 12- та 24-словні сід-фрази BIP39, а також адреси гаманців Bitcoin, Ethereum, Tron та Monero. При виявленні він замінює їх на реквізити атакуючого, причому алгоритм підбирає гаманці з візуально схожими початковими символами. Крім цього, кожні десять секунд робиться п'ять скріншотів екрана. Індикаторами зараження слугують підозріла активність процесів wscript.exe, cscript.exe, а також несанкціоновані підключення до localhost:9050 (стандартний порт Tor).
Android-троян Rokarolla: повний контроль над пристроєм
Дослідники Zimperium виявили новий Android-троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ поширюється через підроблені сайти, що маскуються під інсталятори TikTok та Google Chrome. На першому етапі жертву змушують надати доступ до «Спеціальних можливостей», після чого троян вимикає захист Play Protect і розгортає повний функціонал.
Rokarolla використовує фейкові HTML-сторінки авторизації для підміни легітимних криптогаманців, а також імітує екран блокування Android для крадіжки PIN-кодів. Вбудований кліпер підміняє адреси в буфері обміну, а для обходу 2FA троян перехоплює SMS. Більше того, призначаючи себе додатком за замовчуванням для дзвінків, він здатен блокувати вхідні виклики від антифрод-систем банків.
Вразливість у Beats Studio Buds: прослуховування без згоди
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701 високого ступеня небезпеки. Проблема, виявлена в Bluetooth-аудіо SDK від Airoha, дозволяла зловмисникам у радіусі дії Bluetooth підключатися до навушників без аутентифікації та активувати вбудований мікрофон для шпигунства.
Експлойт також давав можливість читати та перезаписувати оперативну та флеш-пам'ять пристрою, а також перехоплювати довірчі відносини з раніше сполученими смартфонами. Вразливість усунено у версії прошивки 1B211.
Інші події тижня
- Правоохоронці Південної Кореї затримали 23 підозрюваних у справі про відмивання 11,1 млн USDT для камбоджійської фішингової організації. Схема задіяла 11 300 рахунків, а загальна сума викрадених коштів склала $17 млн.
- ФБР попередило про нову тактику криптошахраїв: вони наймають кур'єрів для збору готівки у жертв, чиї банківські транзакції блокуються системами безпеки. За 2025 рік збитки від таких схем у США досягли $8,6 млрд.
- Застарілий контракт у мережі Aztec зазнав злому на $2 млн.
Експертний коментар: Цей тиждень наочно демонструє, що кіберзлочинці переходять до мультивекторних атак, поєднуючи соціальну інженерію з технічно складними методами. Особливе занепокоєння викликає USB-черв'як — його здатність до саморозповсюдження та маскування під користувацькі файли робить його надзвичайно небезпечним для корпоративного сектора. Рекомендую всім власникам криптовалют негайно оновити прошивки навушників і ретельно перевіряти дозволи, що надаються мобільним додаткам.