Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Криптоклиппер распространили с помощью фейковой репутации на GitHub и YouTube.
USB-червь самораспространялся через скрытые ярлыки Windows для кражи криптовалют.
Правоохранители Южной Кореи ликвидировали сеть по отмыванию криптовалют для камбоджийского синдиката.
Исследователи обнаружили новый Android-троян для кражи криптовалют.
Криптоклиппер распространили с помощью фейковой репутации на GitHub и YouTube
Неизвестный злоумышленник развернул масштабную кампанию по распространению вредоносного ПО, используя методы легитимного маркетинга для создания фейковой «экономики репутации». Об этом сообщили специалисты Check Point Research.
Конечная цель атак — внедрение криптоклипперов под видом инструментов для трейдинга в экосистемах Solana и Pump.fun, а также софта для прогнозирования исходов в беттинге.
Фишинговая страница. Источник: Check Point Research.
По данным экспертов, сам клиппер написан на языке Rust и нацелен на операционные системы Windows и macOS. Вредонос скрыто и непрерывно мониторит буфер обмена устройства. При обнаружении скопированного адреса криптовалютного кошелька ПО моментально подменяет его на реквизиты злоумышленника, перенаправляя цифровые активы.
Чтобы вызвать доверие у жертв — в основном криптоинвесторов и онлайн-игроков, — хакер выстроил сложную кроссплатформенную инфраструктуру «сетей-призраков» (Ghost Networks). Аналитики зафиксировали скоординированную деятельность на платформе VirusTotal: кластер фейковых аккаунтов массово оставлял позитивные комментарии и лайки, чтобы ложно классифицировать вредоносные файлы как безопасные.
Подобная манипуляция метриками применяется и на других ресурсах:
GitHub и SourceForge. Злоумышленник управляет сеткой аккаунтов для взаимного продвижения репозиториев. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств;
YouTube. Для рекламы софта используется канал с более чем 91 000 подписчиков. Обучающие ролики создаются с применением ИИ-генераторов голоса и сопровождаются накрученными позитивными комментариями;
СМИ. Для легализации инструмента хакер использует сервисы рассылки пресс-релизов (например, EIN Presswire), публикации которых затем автоматически перепечатываются партнерскими новостными сайтами.
Исследователи Check Point подчеркнули, что манипулирование краудсорсинговыми платформами указывает на опасный сдвиг в тактике социальной инженерии. Успешно обкатанная схема с кроссплатформенной накруткой репутации в будущем может быть применена для массового распространения программ-вымогателей и более сложных инфостилеров.
USB-червь самораспространялся через скрытые ярлыки Windows для кражи криптовалют
Эксперты Microsoft раскрыли детали кампании распространения саморазмножающегося вредоносного ПО, направленной против владельцев криптовалют.
Процесс заражения активируется, когда жертва открывает модифицированный файл ярлыка (.LNK) на USB-накопителе. После запуска червь скрытно устанавливает дополнительные полезные нагрузки с командного сервера, расположенного в доменной зоне .onion.
Вредонос сканирует локальную систему на наличие пользовательских документов. Обнаружив их, программа скрывает оригиналы и подменяет их вредоносными ярлыками с идентичными названиями. В результате ПО активируется каждый раз, когда пользователь пытается открыть свои рабочие файлы. Для самораспространения червь создает запланированную задачу, отслеживающую порты. Как только в компьютер вставляется новый USB-диск, вирус мгновенно копирует себя на внешний носитель.
Схема заражения. Источник: Microsoft.
Стилер переходит в активную фазу только в том случае, если в системе не запущен «Диспетчер задач». Он устанавливает связь с командным сервером через встроенный исполняемый файл Tor и каждые полсекунды мониторит буфер обмена на наличие чувствительных данных:
12- и 24-словные сид-фразы BIP39;
адреса биткоин-кошельков (включая Legacy, P2SH, Bech32 и Taproot), Ethereum, Tron и Monero.
При обнаружении скопированного адреса программа моментально подменяет его на реквизиты злоумышленника. Чтобы обмануть жертву, алгоритм подбирает кошельки, начальные символы которых визуально совпадают с оригинальными.
Помимо перехвата буфера обмена, каждые десять секунд вирус делает пять снимков экрана и отправляет их хакерам с помощью утилиты Curl. По специальной команде сервера ПО может загружать и исполнять произвольные JavaScript-сценарии на зараженной машине.
Активность этого USB-червя непрерывно фиксируется как минимум с февраля. Исследователи подчеркнули, что наиболее явные индикаторы заражения носят поведенческий, а не сигнатурный характер. Главными «красными флагами» взлома являются подозрительная фоновая активность процессов wscript.exe и cscript.exe, неожиданные запуски Curl, PowerShell и cmd.exe, а также несанкционированные сетевые подключения к localhost:9050 (стандартный порт прокси-сервера Tor).
Правоохранители Южной Кореи ликвидировали сеть по отмыванию криптовалют для камбоджийского синдиката
Правоохранители Южной Кореи задержали 23 подозреваемых по делу об отмывании средств для камбоджийской фишинговой организации. Об этом сообщает Newsis.
Схема осуществлялась через сложную сеть маршрутизации транзакций с использованием как внутренних южнокорейских, так и зарубежных криптовалютных бирж. По данным следствия, с февраля 2024 по апрель 2025 года группа переместила около 11,1 млн USDT.
В полиции указали на колоссальный масштаб задействованной инфраструктуры: для отмывания денег злоумышленники использовали около 11 300 различных счетов. Эти транзитные учетные записи были напрямую связаны с похищенными средствами на общую сумму примерно $17 млн, которые преступники получили в результате 265 инцидентов.
В ходе полицейских рейдов изъяли криминальные доходы на сумму 650 млн вон (около $430 000). При этом активная фаза операции правоохранительных органов еще не завершена: предполагаемый организатор группировки по-прежнему находится на свободе. В отношении него уже выдано «красное уведомление» Интерпола, подразумевающее международный розыск и экстрадицию.
Исследователи обнаружили новый Android-троян для кражи криптовалют
Исследователи безопасности Zimperium обнаружили троян для Android, нацеленный на кражу криптовалют.
По данным аналитиков, арсенал вредоноса Rokarolla насчитывает 137 удаленных команд. Инструментарий позволяет перехватывать PIN-коды, читать и отправлять СМС, манипулировать буфером обмена для кражи цифровых активов и принудительно отключать встроенные механизмы защиты ОС.
ПО распространяется через вредоносные веб-сайты, маскирующиеся под инсталляторы популярных сервисов вроде TikTok и Google Chrome.
На первом этапе жертва загружает программу, которая визуально имитирует системный компонент Google Play Protect. Используя эту маскировку, дроппер с помощью социальной инженерии вынуждает пользователя выдать ему доступ к «Специальным возможностям». Получив разрешение, вредонос разворачивает основную полезную нагрузку и первым же делом отключает настоящий сканер Play Protect.
Запрос дополнительных разрешений трояном Rokarolla. Источник: Zimperium.
Rokarolla скачивает со своего сервера фейковые HTML-страницы авторизации для каждого активного приложения из целевого списка. Когда жертва открывает легитимный криптокошелек, троян мгновенно перекрывает его поддельным окном и перехватывает все вводимые реквизиты.
Помимо этого, отдельный оверлей в точности имитирует стандартный экран блокировки Android. Это позволяет ПО украсть PIN-код, пароль или графический ключ, давая операторам возможность управлять смартфоном даже в заблокированном состоянии. Для кражи криптовалюты троян задействует встроенный клиппер: он незаметно мониторит буфер обмена и подменяет скопированные адреса кошельков на реквизиты атакующих, перенаправляя транзакции.
Чтобы преодолеть двухфакторную аутентификацию, Rokarolla читает все СМС на устройстве и может самостоятельно отправлять сообщения, перехватывая одноразовые банковские коды. Более того, назначая себя приложением по умолчанию для звонков и СМС, троян способен блокировать входящие вызовы — таким образом, предупреждающий звонок из антифрод-системы банка просто не дойдет до владельца.
Эксперты подчеркнули, что главная защита от подобных угроз — повышенная бдительность при выдаче разрешений к «Специальным возможностям», так как именно они запускают всю цепочку атаки.
Организаторы криптоскамов использовали курьеров для сбора наличных
Злоумышленники начали нанимать курьеров для сбора средств у жертв, чьи транзакции блокируются банковскими системами безопасности. О новой тактике операторов криптовалютных схем «разделки свиней» сообщили в ФБР.
Обычно такие аферы начинаются с того, что мошенники связываются с потенциальными жертвами через социальные сети, сайты знакомств и мессенджеры, входят в доверие, а затем завлекают их в фейковые инвестиционные схемы.
Убедив снять наличные (например, под предлогом временной «заморозки» счета), мошенники отправляют курьера к доверившемуся им человеку. Для идентификации используется заранее оговоренный пароль или серийный номер конкретной долларовой купюры. Получив деньги, хакеры симулируют увеличение баланса в виртуальном кошельке жертвы и запускают цикл заново, требуя новых взносов для оплаты вымышленных «налогов» на вывод средств.
По данным ФБР за 2025 год, криптовалютные и инвестиционные махинации остаются «самой разрушительной формой» киберпреступности в США: на них пришлось 49% всех инцидентов с совокупным ущербом в $8,6 млрд.
Уязвимость в беспроводных наушниках позволяла хакерам прослушивать пользователей iPhone
Apple выпустила обновление прошивки для беспроводных наушников Beats Studio Buds, закрывающее уязвимость высокой степени опасности.
Брешь, о которой сообщили эксперты SentinelOne еще в январе, позволяла злоумышленникам тайно подключаться к устройству и использовать встроенный микрофон для шпионажа.
Проблема, получившая идентификатор CVE-2025-20701, связана с некорректной авторизацией в Bluetooth-аудио SDK от разработчика чипов Airoha. Дефект позволяет хакеру, находящемуся в радиусе действия Bluetooth, удаленно подключить свое оборудование с наушниками без ведома и согласия пользователя — при условии, что гарнитура еще не сопряжена и активно ищет подключения. Уязвимость успешно устранена в обновлении прошивки Beats версии 1B211.
По словам специалистов, эксплойт может быть активирован через стандартный Bluetooth или протокол с низким энергопотреблением (BLE) без какой-либо аутентификации. Помимо прослушки, атака предоставляет злоумышленникам практически полный контроль над устройством: она позволяет читать и перезаписывать оперативную и флеш-память наушников. Более того, хакеры могут перехватывать установленные доверительные отношения с ранее сопряженными смартфонами, что открывает вектор для развития более сложных многоступенчатых атак.
Также на ForkLog:
Устаревший контракт в сети Aztec подвергся взлому на $2 млн.
Кентукки вслед за другими штатами подал иск против Polymarket.
Великобритания запретит соцсети детям до 16 лет.
Верховный суд РФ признал криптовалюту предметом хищения.
Bitbank пригрозила блокировками за связанные с Polymarket транзакции.
Что почитать на выходных?
Идеи, которые меняют мир, почти всегда рождаются на периферии — среди людей, которых современники считают чудаками. В новом материале ForkLog разобрался почему первопроходцы, как Джек Парсонс, нередко остаются в тени совершенных ими революций.
https://forklog.com/exclusive/ottsy-tuzemuna
