Кібервійна за криптоактиви: USB-черв'яки, фейкові репутації та нові Android-трояни — дайджест загроз

За останній тиждень ландшафт кіберзагроз у сфері криптовалют зазнав кількох значних змін. Мої колеги і я проаналізували найнебезпечніші інциденти, які безпосередньо загрожують як роздрібним інвесторам, так і інституційним гравцям. Від саморозповсюджуваних USB-хробаків до складних схем соціальної інженерії — арсенал зловмисників стає дедалі витонченішим.
Фейкова репутація як зброя: криптокліпери на GitHub та YouTube
Зловмисники розгорнули кампанію з впровадження криптокліперів, використовуючи методи легітимного маркетингу для створення хибної «економіки репутації». Кінцева мета — підміна даних у буфері обміну для крадіжки криптовалют під виглядом інструментів для трейдингу в екосистемах Solana та Pump.fun.
Кліпер, написаний на Rust, націлений на Windows та macOS. Він приховано моніторить буфер обміну і при виявленні скопійованої адреси гаманця миттєво підміняє її на реквізити хакера. Для створення довіри зловмисник вибудував складну інфраструктуру «мереж-привидів»: на VirusTotal фейкові акаунти масово залишали позитивні коментарі, щоб хибно класифікувати шкідливі файли як безпечні. На SourceForge лічильник завантажень був штучно завищений до 44 000 за допомогою ферми Android-пристроїв, а на YouTube використовується канал із понад 91 000 підписників для реклами софту з ІІ-генерованими голосами.
Цей зсув у тактиці соціальної інженерії надзвичайно небезпечний. Успішно обкатана схема з крос-платформним накручуванням репутації в майбутньому може бути застосована для масового поширення програм-вимагачів та складніших інфостилерів.
USB-хробак із функціями саморозповсюдження
Експерти Microsoft розкрили деталі кампанії з поширення саморозмножуваного шкідливого ПЗ, спрямованого проти власників криптовалют. Процес зараження активується, коли жертва відкриває модифікований файл ярлика (.LNK) на USB-накопичувачі. Хробак сканує систему, приховує оригінали документів і підміняє їх шкідливими ярликами. Для саморозповсюдження він створює заплановане завдання, що відстежує порти, і миттєво копіює себе на будь-який новий USB-диск.
Стилер переходить в активну фазу лише в тому випадку, якщо в системі не запущено «Диспетчер завдань». Він встановлює зв'язок із командним сервером через Tor і кожні півсекунди моніторить буфер обміну на наявність сід-фраз BIP39 та адрес гаманців Bitcoin, Ethereum, Tron та Monero. Більше того, кожні десять секунд вірус робить п'ять знімків екрана та надсилає їх хакерам. Активність цього хробака фіксується щонайменше з лютого, і головними «червоними прапорцями» є підозріла фонова активність процесів wscript.exe та cscript.exe.
Новий Android-троян Rokarolla: повний контроль над пристроєм
Дослідники Zimperium виявили троян для Android, націлений на крадіжку криптовалют. Арсенал шкідливого ПЗ Rokarolla налічує 137 віддалених команд, що дозволяють перехоплювати PIN-коди, читати SMS, маніпулювати буфером обміну та вимикати вбудовані механізми захисту ОС. ПЗ поширюється через шкідливі сайти, що маскуються під інсталятори TikTok та Google Chrome.
На першому етапі жертва завантажує програму, яка імітує системний компонент Google Play Protect. Використовуючи соціальну інженерію, дропер змушує користувача надати доступ до «Спеціальних можливостей», після чого вимикає справжній сканер Play Protect. Окремий оверлей імітує стандартний екран блокування Android, дозволяючи вкрасти PIN-код і отримати повний контроль над смартфоном навіть у заблокованому стані.
Кур'єри для збору готівки: нова тактика криптосхем
ФБР повідомило про нову тактику операторів криптовалютних схем «обробки свиней». Зловмисники почали наймати кур'єрів для збору коштів у жертв, чиї транзакції блокуються банківськими системами безпеки. Переконавши жертву зняти готівку, шахраї надсилають кур'єра, який ідентифікується за заздалегідь обумовленим паролем. Отримавши гроші, хакери імітують збільшення балансу у віртуальному гаманці та запускають цикл заново, вимагаючи нових внесків для оплати вигаданих «податків».
Вразливість у Beats Studio Buds: прослуховування через Bluetooth
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Проблема, пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK, дозволяла хакеру, що знаходиться в радіусі дії Bluetooth, віддалено підключити своє обладнання до навушників без відома користувача. Експлойт надавав практично повний контроль над пристроєм, включаючи можливість прослуховування через вбудований мікрофон.
Моя професійна думка: Ми спостерігаємо конвергенцію класичних методів кібератак із новими технологіями — від ІІ-генерації голосів до використання Tor для прихованої комунікації. Криптоінвесторам необхідно переглянути свої звички безпеки: відмова від використання USB-накопичувачів із невідомих джерел, ретельна перевірка дозволів для додатків на Android та критичне ставлення до будь-якої «репутації» в онлайні — ось мінімальний набір заходів для захисту активів.