Аналітика тижня: криптокліпери на стероїдах, USB-хробак нового покоління та південнокорейський розгром

Світ кібербезпеки продовжує підносити сюрпризи, і цього тижня ми спостерігали цілу низку атак, які змушують переглянути звичні підходи до захисту цифрових активів. Від складних багаторівневих схем соціальної інженерії до апаратних вразливостей — загрози стають дедалі витонченішими.
Фейкова репутація як зброя: криптокліпери на GitHub і YouTube
Зловмисники продемонстрували новий рівень майстерності, використовуючи легітимні маркетингові інструменти для створення хибної довіри. У рамках масштабної кампанії хакери розгорнули цілу «економіку репутації», щоб впроваджувати криптокліпери під виглядом трейдингових інструментів для Solana та Pump.fun.
Кліпер, написаний на Rust, націлений на Windows і macOS. Його завдання — моніторити буфер обміну та миттєво підміняти адреси гаманців на реквізити зловмисників. Але головне — це інфраструктура «мереж-примар» (Ghost Networks). Фейкові акаунти на VirusTotal, GitHub, SourceForge та YouTube скоординовано накручують лайки, коментарі та завантаження. На SourceForge лічильник був штучно завищений до 44 000 за допомогою ферми Android-пристроїв. Канал на YouTube із 91 000 підписників використовує ШІ-голоси для створення навчальних роликів. Це небезпечний прецедент: успішно обкатана схема може бути застосована для поширення вимагачів та інфостилерів.
USB-хробак: саморозмноження через приховані ярлики Windows
Експерти Microsoft розкрили деталі кампанії, де USB-хробак використовує техніку самопоширення, ховаючись у модифікованих .LNK-файлах. При відкритті такого ярлика на флешці шкідник завантажує корисне навантаження з .onion-сервера, сканує систему на наявність документів, ховає їх та підміняє шкідливими ярликами з тими ж назвами.
Хробак створює заплановане завдання, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них. Він активний лише якщо не запущено «Диспетчер завдань». Стилер кожні півсекунди моніторить буфер обміну на наявність сід-фраз BIP39 та адрес Bitcoin, Ethereum, Tron і Monero. При виявленні — миттєва підміна. Кожні десять секунд робиться п'ять скріншотів. Індикатори зараження — поведінкові: неочікувані запуски wscript.exe, cscript.exe, Curl, PowerShell та підключення до localhost:9050.
Південна Корея: ліквідація мережі відмивання для камбоджійського синдикату
Правоохоронці Південної Кореї затримали 23 особи, причетних до відмивання коштів для камбоджійської фішингової організації. Мережа використовувала складну маршрутизацію через 11 300 рахунків на внутрішніх та закордонних біржах. З лютого 2024 по квітень 2025 року було переміщено 11,1 млн USDT, пов'язаних із викраденими $17 млн в результаті 265 інцидентів. Вилучено $430 000, але організатор перебуває в розшуку за «червоним повідомленням» Інтерполу.
Android-троян Rokarolla: 137 команд для повного захоплення пристрою
Дослідники Zimperium виявили троян Rokarolla, який поширюється через фейкові сайти, маскуючись під TikTok або Google Chrome. Після встановлення він імітує системний компонент Google Play Protect і змушує користувача надати доступ до «Спеціальних можливостей». Отримавши його, троян вимикає справжній Play Protect і розгортає повний арсенал із 137 віддалених команд.
Rokarolla перехоплює PIN-коди, читає СМС, підміняє буфер обміну для крадіжки криптовалют і навіть блокує вхідні дзвінки, щоб жертва не отримала попередження від банку. Окремий оверлей імітує екран блокування Android, дозволяючи вкрасти пароль. Це ще раз підтверджує: головний захист — пильність при наданні дозволів на «Спеціальні можливості».
Apple виправляє вразливість у Beats Studio Buds
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває критичну вразливість CVE-2025-20701. Бріш, виявлена SentinelOne, дозволяла хакерам у радіусі Bluetooth підключатися до навушників без аутентифікації та використовувати вбудований мікрофон для шпигунства. Експлойт також надавав доступ до читання та перезапису пам'яті, а також перехоплення довірчих відносин із сполученими пристроями. Виправлення вийшло у версії 1B211.
Думка експерта: Цей тиждень показав, що ми вступаємо в еру гібридних атак, де соціальна інженерія та технічні вразливості зливаються в єдине ціле. Особливу тривогу викликає створення фейкової репутації на краудсорсингових платформах — це підриває саму основу довіри у відкритих екосистемах. Для користувачів це означає, що довіряти не можна ні лайкам, ні зіркам, ні навіть «перевіреним» каналам. Єдиний надійний щит — це власна кібергігієна та багатофакторна аутентифікація.