Новини криптоміра

20.06.2026
05:50

Криптозагрози тижня: USB-хробак для крадіжки сід-фраз, Android-троян із повним захопленням пристрою та вразливість Beats Studio Buds

security_new1

Світ криптобезпеки продовжує демонструвати еволюцію загроз: від складних соціальних інженерій до апаратних вразливостей. На цьому тижні ми спостерігаємо цілий каскад атак, спрямованих на власників цифрових активів, і кожна з них заслуговує на пильну увагу.

USB-хробак: новий рівень саморозповсюдження

Фахівці Microsoft виявили кампанію з поширення саморозмножуваного шкідливого ПЗ, яке використовує приховані ярлики Windows. Заразивши систему через USB-накопичувач, хробак приховує оригінальні файли користувача та підміняє їх шкідливими .LNK-файлами. Щоразу, коли жертва намагається відкрити документ, активується вірус, який потім копіює себе на нові флешки через заплановане завдання.

Шкідливе ПЗ написане на Rust і націлене на крадіжку криптовалют: воно моніторить буфер обміну, підміняючи адреси гаманців Bitcoin (включно з Taproot), Ethereum, Tron та Monero на реквізити зловмисника. Особливу небезпеку становить перехоплення 12- та 24-слівних сид-фраз BIP39. Для зв'язку з командним сервером хробак використовує вбудований Tor, а кожні десять секунд робить знімки екрана. Головний індикатор зараження — аномальна активність wscript.exe та cscript.exe.

Android-троян Rokarolla: повне захоплення пристрою

Дослідники Zimperium виявили новий Android-троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ маскується під інсталятори TikTok та Google Chrome, а на першому етапі імітує системний компонент Google Play Protect. Отримавши доступ до «Спеціальних можливостей», воно вимикає справжній сканер Play Protect і розгортає повну атаку.

Rokarolla перехоплює PIN-коди, читає та надсилає SMS, а також використовує вбудований кліпер для підміни адрес криптогаманців. Для подолання 2FA троян перехоплює одноразові банківські коди та блокує вхідні дзвінки від антифрод-систем. Крім того, він здатен імітувати стандартний екран блокування Android, щоб викрасти графічний ключ або пароль.

Вразливість у Beats Studio Buds: прослуховування через Bluetooth

Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Брешь, виявлена фахівцями SentinelOne, дозволяла хакерам у радіусі дії Bluetooth підключатися до навушників без аутентифікації та використовувати вбудований мікрофон для шпигунства. Вразливість надавала доступ до читання та перезапису оперативної та флеш-пам'яті, а також до перехоплення довірчих відносин із раніше сполученими смартфонами.

Інші події тижня

  • Криптокліпери поширюються через фейкову репутацію на GitHub та YouTube, використовуючи «мережі-привиди» для накрутки лайків та завантажень.
  • Правоохоронці Південної Кореї ліквідували мережу з відмивання 11,1 млн USDT для камбоджійського фішингового синдикату, використовуючи 11 300 рахунків.
  • ФБР попереджає про нову тактику: шахраї наймають кур'єрів для збору готівки у жертв криптошахрайств, коли банки блокують транзакції.
  • Застарілий контракт у мережі Aztec зазнав злому на $2 млн.

Експертний коментар: Поточна хвиля атак демонструє, що зловмисники перейшли від простих фішингових схем до багатоступеневих операцій із використанням саморозповсюджуваних хробаків та троянів із повним захопленням пристроїв. Особливе занепокоєння викликає інтеграція Tor у USB-хробак — це робить традиційні методи виявлення на основі сигнатур практично марними. Рекомендую користувачам оновити прошивки всіх Bluetooth-пристроїв, вимкнути автозапуск з USB-носіїв та уважно перевіряти надання дозволів на Android.