Новини криптоміра

20.06.2026
05:20

Маскування під довіру: фейкові репутації, USB-черв'яки та нові Android-трояни — дайджест кіберзагроз тижня

security_new1

Світ криптобезпеки продовжує підкидати нові виклики. На цьому тижні ми спостерігали цілий каскад атак, починаючи від витончених схем маніпуляції репутацією на GitHub і закінчуючи саморозмножуваними USB-хробаками. Я проаналізував ключові події, щоб ви могли тримати руку на пульсі.

Фейкова репутація як інструмент: криптокліпери на Solana та Pump.fun

Зловмисники вивели соціальну інженерію на новий рівень, створивши цілу «економіку репутації» для просування шкідливого ПЗ. У центрі схеми — криптокліпер, написаний на Rust і націлений на Windows та macOS. Він маскується під інструменти для трейдингу в екосистемах Solana та Pump.fun, а також під софт для беттінгу.

Хакер вибудував складну інфраструктуру «мереж-привидів» (Ghost Networks) на кількох платформах. На VirusTotal кластер фейкових акаунтів масово залишав позитивні відгуки, щоб хибно класифікувати шкідливі файли як безпечні. На GitHub та SourceForge використовувалася сітка акаунтів для взаємного просування репозиторіїв, а на SourceForge лічильник завантажень був штучно завищений до 44 000 за допомогою ферми Android-пристроїв. На YouTube для реклами використовується канал із понад 91 000 підписників, де навчальні ролики створюються за допомогою ІІ-генераторів голосу та супроводжуються накрученими коментарями. Для легалізації інструменту хакер використовує сервіси розсилки пресрелізів, які потім автоматично передруковуються партнерськими новинними сайтами. Це небезпечний зсув у тактиці: обкатана схема може бути застосована для масового поширення програм-вимагачів та складніших інфостилерів.

USB-хробак: приховані ярлики та крадіжка сід-фраз

Експерти Microsoft розкрили деталі кампанії саморозмножуваного шкідливого ПЗ, націленого на власників криптовалют. Процес зараження активується при відкритті модифікованого файлу ярлика (.LNK) на USB-накопичувачі. Хробак приховано встановлює додаткові навантаження з командного сервера в доменній зоні .onion, сканує систему на наявність користувацьких документів, підміняє їх шкідливими ярликами та створює заплановане завдання для саморозповсюдження на нові USB-диски.

В активній фазі стилер моніторить буфер обміну на наявність сід-фраз BIP39 (12 та 24 слова) та адрес гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні він миттєво підміняє їх на реквізити зловмисника, підбираючи гаманці з візуально збіжними початковими символами. Кожні десять секунд вірус робить п'ять знімків екрана та надсилає їх хакерам. Активність фіксується щонайменше з лютого, і головні індикатори зараження — поведінкові: підозріла активність wscript.exe та cscript.exe, несподівані запуски Curl і PowerShell, а також підключення до localhost:9050 (порт Tor).

Південна Корея проти відмивачів: 11 300 рахунків та $17 млн збитків

Правоохоронці Південної Кореї затримали 23 підозрюваних у справі про відмивання коштів для камбоджійської фішингової організації. З лютого 2024 по квітень 2025 року група перемістила близько 11,1 млн USDT через складну мережу маршрутизації з використанням як внутрішніх, так і закордонних криптобірж. Для відмивання грошей зловмисники використовували близько 11 300 різних рахунків, пов'язаних із викраденими коштами на суму приблизно $17 млн, отриманими в результаті 265 інцидентів. Під час рейдів вилучено близько $430 000, але ймовірний організатор все ще на волі — на нього видано міжнародний ордер Інтерполу.

Новий Android-троян Rokarolla: 137 команд та повний контроль над пристроєм

Дослідники Zimperium виявили Android-троян Rokarolla, націлений на крадіжку криптовалют. Його арсенал налічує 137 віддалених команд, що дозволяють перехоплювати PIN-коди, читати СМС, маніпулювати буфером обміну та вимикати вбудовані механізми захисту ОС. Шкідливе ПЗ поширюється через підроблені сайти, що маскуються під інсталятори TikTok та Google Chrome. Дропер імітує системний компонент Google Play Protect і за допомогою соціальної інженерії змушує користувача надати доступ до «Спеціальних можливостей», після чого розгортає основне навантаження та вимикає справжній сканер Play Protect.

Rokarolla завантажує фейкові HTML-сторінки авторизації для кожного активного застосунку з цільового списку, перехоплюючи реквізити криптогаманців. Окремий оверлей імітує стандартний екран блокування Android, дозволяючи вкрасти PIN-код або графічний ключ. Вбудований кліпер підміняє скопійовані адреси гаманців, а читання СМС та можливість надсилати повідомлення дозволяє обійти двофакторну автентифікацію. Більше того, троян може блокувати вхідні виклики від антифрод-систем банків. Головний захист — пильність при наданні дозволів до «Спеціальних можливостей».

Кур'єри для «обробки свиней» та вразливість у Beats Studio Buds

ФБР попереджає про нову тактику операторів криптошахрайств «обробка свиней»: вони почали наймати кур'єрів для збору готівки у жертв, чиї транзакції блокуються банківськими системами безпеки. Шахраї входять у довіру через соцмережі, потім переконують зняти готівку під приводом «заморозки» рахунку та надсилають кур'єра з попередньо обумовленим паролем. За даними ФБР за 2025 рік, криптовалютні та інвестиційні махінації залишаються найбільш руйнівною формою кіберзлочинності в США: 49% усіх інцидентів із сукупним збитком у $8,6 млрд.

Apple випустила оновлення прошивки для Beats Studio Buds, що закриває вразливість CVE-2025-20701. Вона дозволяла зловмисникам у радіусі дії Bluetooth таємно підключатися до навушників, використовувати вбудований мікрофон для шпигунства і навіть перехоплювати довірчі відносини з раніше сполученими смартфонами. Вразливість пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK від Airoha та успішно усунена у версії прошивки 1B211.

Мій експертний погляд: Цей тиждень показав, що зловмисники стають не просто технічно витонченішими, але й психологічно більш продуманими. Маніпуляція краудсорсинговими платформами та використання «репутаційних мереж» — це тривожний сигнал. Інвесторам варто бути вдвічі обережними: довіряти не лише відгукам та рейтингам, але й перевіряти кожен завантажуваний застосунок через кілька незалежних джерел. USB-хробаки та Android-трояни нагадують, що базова гігієна безпеки — регулярні оновлення та відмова від підозрілих посилань — залишається вашим головним щитом.