Новини криптоміра

20.06.2026
07:05

Кіберзагрози тижня: USB-хробак полює на криптогаманці, Apple латає діру в Beats Studio Buds, і новий Android-троян

security_new1

Черговий тиждень приніс цілий букет тривожних сигналів зі світу кібербезпеки. Від витончених схем соціальної інженерії до апаратних вразливостей — зловмисники не дрімають, а ми розбираємо їхні тактики.

Фейкова репутація на GitHub і YouTube: як просувають криптокліпери

Масштабна кампанія з поширення шкідливого ПЗ використовує методи, гідні легітимного маркетингу. Зловмисники створюють цілі «мережі-привиди» (Ghost Networks) для накрутки репутації на GitHub, SourceForge та YouTube. Їхня мета — впровадження Rust-кліпера, який моніторить буфер обміну та підміняє адреси криптогаманців на Windows і macOS. На SourceForge лічильник завантажень був штучно завищений до 44 000 за допомогою ферми Android-пристроїв, а на YouTube канал із 91 000 підписників рекламує «інструменти для трейдингу». Ця тактика маніпуляції краудсорсинговими платформами — небезпечний прецедент, який у майбутньому можуть використовувати для поширення програм-вимагачів.

USB-хробак із функцією саморозповсюдження

Експерти Microsoft розкрили деталі кампанії, де шкідливе ПЗ поширюється через USB-накопичувачі. Зараження починається з відкриття модифікованого .LNK-файлу. Хробак сканує систему, ховає оригінальні документи та підміняє їх шкідливими ярликами. Для самокопіювання на нові USB-диски створюється заплановане завдання. В активній фазі стілер кожні півсекунди моніторить буфер обміну на предмет сід-фраз BIP39 та адрес гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні адреси вона підміняється на реквізити зловмисника, причому алгоритм підбирає гаманці з візуально збіжними початковими символами. Кожні десять секунд робиться п'ять скріншотів екрана. Головні індикатори зараження — підозріла активність wscript.exe та cscript.exe, а також несанкціоновані підключення до localhost:9050 (порт Tor).

Південна Корея ліквідувала мережу відмивачів криптовалют

Правоохоронці Південної Кореї затримали 23 підозрюваних, пов'язаних із камбоджійською фішинговою організацією. З лютого 2024 по квітень 2025 року група перемістила близько 11,1 млн USDT через мережу з 11 300 рахунків. Ці транзитні облікові записи були пов'язані з викраденими коштами на $17 млн, отриманими в результаті 265 інцидентів. Вилучено кримінальних доходів на $430 000. Організатор угруповання поки на свободі, але на нього вже видано «червоне повідомлення» Інтерполу.

Новий Android-троян Rokarolla: 137 команд для крадіжки

Дослідники Zimperium виявили троян Rokarolla, націлений на крадіжку криптовалют. Його арсенал включає 137 віддалених команд. Шкідливе ПЗ маскується під системний компонент Google Play Protect, змушуючи користувача надати доступ до «Спеціальних можливостей». Після цього воно вимикає справжній сканер Play Protect і створює фейкові HTML-сторінки авторизації для криптогаманців. Окремий оверлей імітує екран блокування Android для крадіжки PIN-коду. Вбудований кліпер підміняє адреси гаманців у буфері обміну. Для обходу 2FA троян перехоплює SMS і може блокувати вхідні дзвінки від антифрод-систем банків.

Криптошахраї наймають кур'єрів для збору готівки

ФБР повідомляє про нову тактику в схемах «обробки свиней». Коли банківські системи блокують підозрілі транзакції, шахраї переконують жертву зняти готівку та відправляють кур'єра для її отримання. Для ідентифікації використовується заздалегідь обумовлений пароль або серійний номер купюри. У 2025 році криптовалютні та інвестиційні махінації склали 49% усіх кіберінцидентів у США зі збитками у $8,6 млрд.

Apple виправила небезпечну вразливість у Beats Studio Buds

Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Діра, виявлена SentinelOne, дозволяла хакеру в радіусі дії Bluetooth таємно підключатися до навушників і використовувати вбудований мікрофон для шпигунства. Проблема пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK. Експлойт також дозволяв читати та перезаписувати пам'ять навушників і перехоплювати довірчі відносини з раніше сполученими смартфонами, відкриваючи вектор для багатоступеневих атак. Вразливість усунена у версії прошивки 1B211.

Думка експерта: Цей тиждень наочно демонструє, що кіберзагрози стають дедалі більш комплексними та міждисциплінарними. Зловмисники вже не просто пишуть шкідливий код — вони вибудовують цілі екосистеми для його просування та маскування. Від підробленої репутації на GitHub до фізичних кур'єрів для збору готівки — атаки еволюціонують. Інвесторам і користувачам варто подвоїти пильність: не довіряти сліпо «зіркам» на GitHub, не підключати підозрілі USB-накопичувачі та уважно перевіряти дозволи, які ви надаєте мобільним додаткам.