Кіберзагрози тижня: USB-черв'яки, Android-трояни та фейкові репутації у світі криптовалют

Цього тижня ландшафт кібербезпеки у криптосфері поповнився низкою тривожних інцидентів. Зловмисники активно вдосконалюють свої методи, використовуючи як соціальну інженерію, так і складні технічні рішення. У цьому огляді я розберу ключові події, які потребують пильної уваги кожного учасника ринку.
Фейкові репутації та криптокліпери: нова ера соціальної інженерії
Масштабна кампанія з поширення шкідливого ПЗ, спрямованого на крадіжку криптовалют, була розгорнута з використанням підроблених репутаційних систем. Зловмисник створив складну інфраструктуру «мереж-привидів» на платформах на кшталт GitHub, YouTube та VirusTotal. Основний інструмент — криптокліпер, написаний на Rust і працюючий на Windows та macOS. Він моніторить буфер обміну та підміняє скопійовані адреси гаманців на реквізити атакуючого.
Для підвищення довіри хакер використовує накручені лайки, фейкові акаунти і навіть ІІ-генеровані голоси в навчальних відео. На SourceForge лічильник завантажень був штучно завищений до 44 000 за допомогою ферми Android-пристроїв. Цей підхід — небезпечний зсув у тактиці, який може бути використаний для поширення складніших загроз, включаючи програми-вимагачі.
USB-хробак: саморозмноження через приховані ярлики Windows
Експерти Microsoft розкрили деталі кампанії, в якій використовується саморозмножуваний хробак. Зараження починається з відкриття модифікованого файлу ярлика (.LNK) на USB-накопичувачі. Після цього шкідливе ПЗ сканує систему, приховує оригінальні документи та підміняє їх шкідливими ярликами з тими ж назвами. Щоразу, коли користувач намагається відкрити свої файли, активується шкідливе ПЗ.
Хробак використовує Tor для зв'язку з командним сервером і моніторить буфер обміну на наявність сід-фраз BIP39 та адрес гаманців (Bitcoin, Ethereum, Tron, Monero). При виявленні він підміняє їх на адреси зловмисника. Кожні десять секунд робляться п'ять скріншотів екрана. Активність фіксується щонайменше з лютого, і головні індикатори зараження — поведінкові, а не сигнатурні.
Android-троян Rokarolla: повний контроль над пристроєм
Дослідники з Zimperium виявили новий Android-троян Rokarolla, який має 137 віддалених команд. Він поширюється через шкідливі сайти, що маскуються під інсталятори TikTok або Google Chrome. На першому етапі жертва завантажує програму, яка імітує системний компонент Google Play Protect, і за допомогою соціальної інженерії отримує доступ до «Спеціальних можливостей».
Після цього троян вимикає справжній сканер Play Protect і може перехоплювати PIN-коди, читати та надсилати SMS, а також підміняти буфер обміну для крадіжки криптовалют. Він також створює фейкові HTML-сторінки авторизації для криптогаманців і може імітувати екран блокування Android. Для обходу 2FA троян перехоплює одноразові коди з SMS і може блокувати вхідні дзвінки від антифрод-систем банків.
Вразливість у Beats Studio Buds: шпигунство через навушники
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Ця прогалина, виявлена експертами SentinelOne, дозволяла зловмисникам у радіусі дії Bluetooth підключатися до навушників без відома користувача та використовувати вбудований мікрофон для шпигунства. Проблема була пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK. Вразливість давала практично повний контроль над пристроєм, включаючи читання та перезапис пам'яті, а також перехоплення довірчих відносин з раніше сполученими смартфонами.
Мій коментар: Цей тиждень ясно показує, що зловмисники переходять від простих фішингових атак до комплексних багаторівневих схем. Особливо тривожить використання фейкових репутацій та соціальної інженерії на платформах, яким ми звикли довіряти. Власникам криптовалют варто бути гранично обережними при встановленні будь-якого ПЗ, особливо якщо воно обіцяє легкі заробітки. Регулярні оновлення прошивок та пильність при наданні дозволів — ваша перша лінія оборони.