Новини криптоміра

20.06.2026
10:35

Кіберзагрози тижня: USB-хробак полює на криптогаманці, Apple латає діру в Beats, і новий Android-троян викрадає сид-фрази

security_new1

Цього тижня ландшафт кіберзагроз поповнився одразу кількома витонченими атаками, спрямованими на криптоспільноту. Від саморозповсюджуваних червів через USB до складних фішингових схем на GitHub — зловмисники не полишають спроб дістатися до цифрових активів. Розглянемо ключові інциденти.

Криптокліпер під прикриттям фейкової репутації

Шахраї розгорнули масштабну кампанію з просування шкідливого кліпера, написаного на Rust. Цей троян націлений на Windows і macOS та підміняє адреси гаманців у буфері обміну. Унікальність схеми — у створенні «економіки репутації»: зловмисники використовують мережі фейкових акаунтів на VirusTotal, GitHub і YouTube, щоб штучно накручувати рейтинги та залишати позитивні відгуки. На SourceForge лічильник завантажень було доведено до 44 000 через ферму Android-пристроїв. На YouTube канал із 91 000 підписників рекламує шкідливе ПЗ під виглядом торгових інструментів для Solana та Pump.fun. Це небезпечний прецедент: подібна тактика може бути використана для масового поширення програм-вимагачів.

USB-черв із функціями стілера та саморозповсюдження

Експерти виявили активність USB-черва, який використовує приховані ярлики Windows для крадіжки криптовалют. Зараження починається при відкритті модифікованого .LNK-файлу на флешці. Шкідливе ПЗ сканує систему, ховає користувацькі документи та підміняє їх шкідливими ярликами. Для саморозповсюдження черв створює завдання, яке копіює його на будь-який новий USB-носій. В активній фазі він через Tor підключається до командного сервера та кожні півсекунди моніторить буфер обміну на наявність сід-фраз BIP39 та адрес Bitcoin, Ethereum, Tron і Monero. При виявленні відбувається миттєва підміна на адресу атакуючого, причому алгоритм підбирає гаманці з візуально схожими першими символами. Індикатори зараження — аномальна активність wscript.exe та cscript.exe, а також підключення до localhost:9050.

Південнокорейська поліція накрила мережу відмивачів USDT

У Південній Кореї затримано 23 підозрюваних, причетних до відмивання коштів для камбоджійської фішингової групи. З лютого 2024 по квітень 2025 року через мережу з 11 300 рахунків було переміщено близько 11,1 млн USDT. Ці рахунки були пов'язані з викраденими коштами на $17 млн, отриманими в результаті 265 інцидентів. Під час рейдів вилучено близько $430 000. Організатора угруповання оголошено в міжнародний розшук по лінії Інтерполу.

Rokarolla: новий Android-троян із повним захопленням пристрою

Дослідники виявили троян Rokarolla, який поширюється через підроблені сайти, що маскуються під інсталятори TikTok та Chrome. Після отримання доступу до «Спеціальних можливостей» шкідливе ПЗ вимикає Google Play Protect та розгортає арсенал із 137 команд. Він перехоплює PIN-коди, читає SMS, підміняє буфер обміну для крадіжки криптовалют і навіть імітує екран блокування Android. Для обходу 2FA троян може самостійно надсилати повідомлення, перехоплюючи банківські коди, та блокувати вхідні дзвінки від антифрод-систем.

Apple закриває вразливість у Beats Studio Buds

Apple випустила оновлення прошивки для Beats Studio Buds, яке усуває критичну вразливість CVE-2025-20701. Діра в Bluetooth-стеку дозволяла хакерам у радіусі дії підключатися до навушників без автентифікації, активувати мікрофон для прослуховування та навіть перехоплювати довірчі відносини з раніше сполученими iPhone. Вразливість було виявлено ще в січні, і тепер її закрито у версії прошивки 1B211.

Думка аналітика: Цей тиждень наочно демонструє еволюцію загроз: від простих фішингових посилань до складних багаторівневих атак із використанням соціальної інженерії, підробленої репутації та фізичного доступу через USB. Криптоспільноті необхідно проявляти максимальну пильність, особливо під час встановлення неперевіреного ПЗ та підключення зовнішніх накопичувачів.