Кіберзагрози тижня: USB-хробак для крадіжки криптовалют, вразливість Beats Studio Buds та нова тактика шахраїв
На цьому тижні ландшафт кіберзагроз для криптоспільноти поповнився одразу кількома небезпечними векторами атак. Від саморозповсюджуваних USB-хробаків до складних Android-троянів — зловмисники продовжують удосконалювати свої методи. Розглянемо ключові події.
USB-хробак: новий рівень персистентності
Однією з найтривожніших знахідок став USB-хробак, який використовує приховані ярлики Windows для крадіжки криптовалют. Зараження починається з відкриття модифікованого .LNK-файлу на флеш-накопичувачі. Після цього шкідливе програмне забезпечення встановлює зв'язок із командним сервером у мережі Tor та сканує систему на наявність документів користувача. Оригінали файлів приховуються, а на їхньому місці з'являються шкідливі ярлики з тими ж назвами — так хробак активується при кожній спробі відкрити робочі файли.
Особливу небезпеку становить механізм саморозповсюдження: вірус створює завдання, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них. В активну фазу стилер переходить лише за відсутності запущеного «Диспетчера завдань». Він моніторить буфер обміну кожні півсекунди, перехоплюючи сид-фрази BIP39 та адреси гаманців Bitcoin, Ethereum, Tron і Monero. Підміна адрес відбувається з візуальним маскуванням — підбираються гаманці зі збіжними початковими символами. Додатково кожні десять секунд робиться п'ять скріншотів екрана. Активність хробака фіксується з лютого, і ключові індикатори зараження — поведінкові: несподівані запуски wscript.exe, cscript.exe, Curl та підключення до localhost:9050.
Rokarolla: Android-троян із повним контролем
Дослідники виявили новий Android-троян Rokarolla, націлений на крадіжку криптовалют. Його арсенал включає 137 віддалених команд. Шкідливе ПЗ маскується під інсталятори TikTok або Google Chrome і на першому етапі імітує системний компонент Google Play Protect. За допомогою соціальної інженерії він змушує користувача надати доступ до «Спеціальних можливостей», після чого вимикає справжній сканер Play Protect і розгортає повну функціональність.
Rokarolla завантажує фейкові HTML-сторінки авторизації для кожного криптогаманця з цільового списку. Коли жертва відкриває легітимний застосунок, троян перекриває його підробленим вікном і перехоплює введені дані. Окремий оверлей імітує екран блокування Android, дозволяючи вкрасти PIN-код або графічний ключ. Вбудований кліпер моніторить буфер обміну та підміняє адреси гаманців. Для обходу 2FA троян читає та надсилає SMS, а також може блокувати вхідні дзвінки від антифрод-систем банків. Головний захист — критично обережно ставитися до запитів на доступ до «Спеціальних можливостей».
Вразливість Beats Studio Buds: шпигунство через Bluetooth
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701 високого рівня небезпеки. Діра, пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK від Airoha, дозволяла зловмисникам у радіусі дії Bluetooth віддалено підключатися до навушників без відома користувача — за умови, що гарнітура не сполучена та перебуває в режимі пошуку. Експлойт активується через стандартний Bluetooth або BLE без автентифікації. Окрім прослуховування через вбудований мікрофон, атака дає практично повний контроль над пристроєм: читання та перезапис пам'яті, а також перехоплення довірчих відносин із раніше сполученими смартфонами. Оновлення до версії 1B211 є обов'язковим для всіх користувачів.
Інші події тижня
Серед інших значущих інцидентів: ліквідація в Південній Кореї мережі з відмивання 11,1 млн USDT для камбоджійського синдикату (затримано 23 особи), а також нова тактика ФБР, де шахраї наймають кур'єрів для збору готівки у жертв, чиї транзакції блокуються банками. Нагадаю, що за даними ФБР за 2025 рік, криптовалютні та інвестиційні махінації становлять 49% усіх кіберзлочинів у США зі збитками у $8,6 млрд.
Мій коментар: Тренд на використання USB-хробаків і складних Android-троянів із функціями саморозповсюдження та обходу 2FA вказує на професіоналізацію криптокіберзлочинності. Особливу увагу варто приділити поведінковим індикаторам — традиційні сигнатурні методи виявлення тут уже неефективні. Користувачам необхідно посилити базові заходи захисту: вимкнення автозапуску з USB, використання апаратних гаманців та регулярне оновлення прошивок усіх Bluetooth-пристроїв.