Криптозагрози тижня: USB-хробак для крадіжки сід-фраз, Android-троян із повним захопленням пристрою та вразливість Beats Studio Buds

Світ криптобезпеки продовжує демонструвати еволюцію загроз: від складних соціальних інженерій до апаратних вразливостей. На цьому тижні ми спостерігаємо цілий каскад атак, спрямованих на власників цифрових активів, і кожна з них заслуговує на пильну увагу.
USB-хробак: новий рівень саморозповсюдження
Фахівці Microsoft виявили кампанію з поширення саморозмножуваного шкідливого ПЗ, яке використовує приховані ярлики Windows. Заразивши систему через USB-накопичувач, хробак приховує оригінальні файли користувача та підміняє їх шкідливими .LNK-файлами. Щоразу, коли жертва намагається відкрити документ, активується вірус, який потім копіює себе на нові флешки через заплановане завдання.
Шкідливе ПЗ написане на Rust і націлене на крадіжку криптовалют: воно моніторить буфер обміну, підміняючи адреси гаманців Bitcoin (включно з Taproot), Ethereum, Tron та Monero на реквізити зловмисника. Особливу небезпеку становить перехоплення 12- та 24-слівних сид-фраз BIP39. Для зв'язку з командним сервером хробак використовує вбудований Tor, а кожні десять секунд робить знімки екрана. Головний індикатор зараження — аномальна активність wscript.exe та cscript.exe.
Android-троян Rokarolla: повне захоплення пристрою
Дослідники Zimperium виявили новий Android-троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ маскується під інсталятори TikTok та Google Chrome, а на першому етапі імітує системний компонент Google Play Protect. Отримавши доступ до «Спеціальних можливостей», воно вимикає справжній сканер Play Protect і розгортає повну атаку.
Rokarolla перехоплює PIN-коди, читає та надсилає SMS, а також використовує вбудований кліпер для підміни адрес криптогаманців. Для подолання 2FA троян перехоплює одноразові банківські коди та блокує вхідні дзвінки від антифрод-систем. Крім того, він здатен імітувати стандартний екран блокування Android, щоб викрасти графічний ключ або пароль.
Вразливість у Beats Studio Buds: прослуховування через Bluetooth
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Брешь, виявлена фахівцями SentinelOne, дозволяла хакерам у радіусі дії Bluetooth підключатися до навушників без аутентифікації та використовувати вбудований мікрофон для шпигунства. Вразливість надавала доступ до читання та перезапису оперативної та флеш-пам'яті, а також до перехоплення довірчих відносин із раніше сполученими смартфонами.
Інші події тижня
- Криптокліпери поширюються через фейкову репутацію на GitHub та YouTube, використовуючи «мережі-привиди» для накрутки лайків та завантажень.
- Правоохоронці Південної Кореї ліквідували мережу з відмивання 11,1 млн USDT для камбоджійського фішингового синдикату, використовуючи 11 300 рахунків.
- ФБР попереджає про нову тактику: шахраї наймають кур'єрів для збору готівки у жертв криптошахрайств, коли банки блокують транзакції.
- Застарілий контракт у мережі Aztec зазнав злому на $2 млн.
Експертний коментар: Поточна хвиля атак демонструє, що зловмисники перейшли від простих фішингових схем до багатоступеневих операцій із використанням саморозповсюджуваних хробаків та троянів із повним захопленням пристроїв. Особливе занепокоєння викликає інтеграція Tor у USB-хробак — це робить традиційні методи виявлення на основі сигнатур практично марними. Рекомендую користувачам оновити прошивки всіх Bluetooth-пристроїв, вимкнути автозапуск з USB-носіїв та уважно перевіряти надання дозволів на Android.