Ми зібрали найважливіші новини зі світу кібербезпеки за тиждень.

• Криптокліпер поширювали за допомогою фейкової репутації на GitHub і YouTube.
• USB-черв'як самопоширювався через приховані ярлики Windows для крадіжки криптовалют.
• Правоохоронці Південної Кореї ліквідували мережу з відмивання криптовалют для камбоджійського синдикату.
• Дослідники виявили новий Android-троян для крадіжки криптовалют.

Криптокліпер поширювали за допомогою фейкової репутації на GitHub і YouTube

Невідомий зловмисник розгорнув масштабну кампанію з поширення шкідливого ПЗ, використовуючи методи легітимного маркетингу для створення фейкової «економіки репутації». Про це повідомили фахівці Check Point Research.

Кінцева мета атак — впровадження криптокліперів під виглядом інструментів для трейдингу в екосистемах Solana та Pump.fun, а також софту для прогнозування результатів у беттингу.

За даними експертів, сам кліпер написаний мовою Rust і націлений на операційні системи Windows та macOS. Шкідливе ПЗ приховано та безперервно моніторить буфер обміну пристрою. При виявленні скопійованої адреси криптовалютного гаманця ПЗ миттєво підмінює її на реквізити зловмисника, перенаправляючи цифрові активи.

Щоб викликати довіру в жертв — переважно криптоінвесторів та онлайн-гравців, — хакер вибудував складну кросплатформенну інфраструктуру «мереж-привидів» (Ghost Networks). Аналітики зафіксували скоординовану діяльність на платформі VirusTotal: кластер фейкових акаунтів масово залишав позитивні коментарі та лайки, щоб хибно класифікувати шкідливі файли як безпечні.

Подібна маніпуляція метриками застосовується й на інших ресурсах:

• GitHub і SourceForge. Зловмисник керує мережею акаунтів для взаємного просування репозиторіїв. На SourceForge лічильник завантажень було штучно завищено до 44 000 за допомогою ферми Android-пристроїв;
• YouTube. Для реклами софту використовується канал з понад 91 000 підписників. Навчальні ролики створюються із застосуванням ШІ-генераторів голосу та супроводжуються накрученими позитивними коментарями;
• ЗМІ. Для легалізації інструменту хакер використовує сервіси розсилки пресрелізів (наприклад, EIN Presswire), публікації яких потім автоматично передруковуються партнерськими новинними сайтами.

Дослідники Check Point наголосили, що маніпулювання краудсорсинговими платформами вказує на небезпечний зсув у тактиці соціальної інженерії. Успішно випробувана схема з кросплатформенною накруткою репутації в майбутньому може бути застосована для масового поширення програм-вимагачів та складніших інфостилерів.

USB-черв'як самопоширювався через приховані ярлики Windows для крадіжки криптовалют

Експерти Microsoft розкрили деталі кампанії поширення самовідтворюваного шкідливого ПЗ, спрямованої проти власників криптовалют. 

Процес зараження активується, коли жертва відкриває модифікований файл ярлика (.LNK) на USB-накопичувачі. Після запуску черв'як приховано встановлює додаткові корисні навантаження з командного сервера, розташованого в доменній зоні .onion.

Шкідливе ПЗ сканує локальну систему на наявність користувацьких документів. Виявивши їх, програма приховує оригінали та підмінює їх шкідливими ярликами з ідентичними назвами. У результаті ПЗ активується щоразу, коли користувач намагається відкрити свої робочі файли. Для самопоширення черв'як створює заплановану задачу, що відстежує порти. Щойно в комп'ютер вставляється новий USB-диск, вірус миттєво копіює себе на зовнішній носій.

Стилер переходить в активну фазу лише в тому разі, якщо в системі не запущено «Диспетчер завдань». Він встановлює зв'язок із командним сервером через вбудований виконуваний файл Tor і кожні пів секунди моніторить буфер обміну на наявність чутливих даних:

• 12- і 24-слівні сид-фрази BIP39;
• адреси біткоїн-гаманців (включно з Legacy, P2SH, Bech32 і Taproot), Ethereum, Tron і Monero.

При виявленні скопійованої адреси програма миттєво підмінює її на реквізити зловмисника. Щоб обдурити жертву, алгоритм добирає гаманці, початкові символи яких візуально збігаються з оригінальними.

Окрім перехоплення буфера обміну, кожні десять секунд вірус робить п'ять знімків екрана та надсилає їх хакерам за допомогою утиліти Curl. За спеціальною командою сервера ПЗ може завантажувати та виконувати довільні JavaScript-сценарії на зараженій машині.

Активність цього USB-черв'яка безперервно фіксується щонайменше з лютого. Дослідники наголосили, що найбільш явні індикатори зараження мають поведінковий, а не сигнатурний характер. Головними «червоними прапорцями» зламу є підозріла фонова активність процесів wscript.exe і cscript.exe, несподівані запуски Curl, PowerShell і cmd.exe, а також несанкціоновані мережеві підключення до localhost:9050 (стандартний порт проксі-сервера Tor).

Правоохоронці Південної Кореї ліквідували мережу з відмивання криптовалют для камбоджійського синдикату

Правоохоронці Південної Кореї затримали 23 підозрюваних у справі про відмивання коштів для камбоджійської фішингової організації. Про це повідомляє Newsis.

Схема здійснювалася через складну мережу маршрутизації транзакцій з використанням як внутрішніх південнокорейських, так і закордонних криптовалютних бірж. За даними слідства, з лютого 2024 по квітень 2025 року група перемістила близько 11,1 млн USDT.

У поліції вказали на колосальний масштаб задіяної інфраструктури: для відмивання грошей зловмисники використовували близько 11 300 різних рахунків. Ці транзитні облікові записи були безпосередньо пов'язані з викраденими коштами на загальну суму приблизно $17 млн, які злочинці отримали в результаті 265 інцидентів.

Під час поліцейських рейдів вилучили кримінальні доходи на суму 650 млн вон (близько $430 000). При цьому активна фаза операції правоохоронних органів ще не завершена: ймовірний організатор угруповання досі перебуває на волі. Стосовно нього вже видано «червоне сповіщення» Інтерполу, що передбачає міжнародний розшук та екстрадицію.

Дослідники виявили новий Android-троян для крадіжки криптовалют

Дослідники безпеки Zimperium виявили троян для Android, націлений на крадіжку криптовалют.

За даними аналітиків, арсенал шкідливого ПЗ Rokarolla налічує 137 віддалених команд. Інструментарій дозволяє перехоплювати PIN-коди, читати та надсилати СМС, маніпулювати буфером обміну для крадіжки цифрових активів і примусово вимикати вбудовані механізми захисту ОС.

ПЗ поширюється через шкідливі вебсайти, що маскуються під інсталятори популярних сервісів на кшталт TikTok і Google Chrome.

На першому етапі жертва завантажує програму, яка візуально імітує системний компонент Google Play Protect. Використовуючи це маскування, дропер за допомогою соціальної інженерії змушує користувача надати йому доступ до «Спеціальних можливостей». Отримавши дозвіл, шкідливе ПЗ розгортає основне корисне навантаження й насамперед вимикає справжній сканер Play Protect.

Rokarolla завантажує зі свого сервера фейкові HTML-сторінки авторизації для кожного активного застосунку із цільового списку. Коли жертва відкриває легітимний криптогаманець, троян миттєво перекриває його підробленим вікном і перехоплює всі введені реквізити.

Окрім цього, окремий оверлей точно імітує стандартний екран блокування Android. Це дозволяє ПЗ викрасти PIN-код, пароль або графічний ключ, даючи операторам можливість керувати смартфоном навіть у заблокованому стані. Для крадіжки криптовалюти троян задіює вбудований кліпер: він непомітно моніторить буфер обміну та підмінює скопійовані адреси гаманців на реквізити атакувальників, перенаправляючи транзакції.

Щоб подолати двофакторну автентифікацію, Rokarolla читає всі СМС на пристрої та може самостійно надсилати повідомлення, перехоплюючи одноразові банківські коди. Ба більше, призначаючи себе застосунком за замовчуванням для дзвінків і СМС, троян здатний блокувати вхідні виклики — таким чином, попереджувальний дзвінок з антифрод-системи банку просто не дійде до власника.

Експерти наголосили, що головний захист від подібних загроз — підвищена пильність при наданні дозволів до «Спеціальних можливостей», адже саме вони запускають увесь ланцюжок атаки.

Організатори криптоскамів використовували кур'єрів для збору готівки

Зловмисники почали наймати кур'єрів для збору коштів у жертв, чиї транзакції блокуються банківськими системами безпеки. Про нову тактику операторів криптовалютних схем «розбирання свиней» повідомили у ФБР.

Зазвичай такі афери починаються з того, що шахраї зв'язуються з потенційними жертвами через соціальні мережі, сайти знайомств і месенджери, входять у довіру, а потім заманюють їх у фейкові інвестиційні схеми. 

Переконавши зняти готівку (наприклад, під приводом тимчасового «заморожування» рахунку), шахраї надсилають кур'єра до людини, яка їм довірилася. Для ідентифікації використовується заздалегідь обумовлений пароль або серійний номер конкретної доларової купюри. Отримавши гроші, хакери симулюють збільшення балансу у віртуальному гаманці жертви та запускають цикл заново, вимагаючи нових внесків для оплати вигаданих «податків» на виведення коштів.

За даними ФБР за 2025 рік, криптовалютні та інвестиційні махінації залишаються «найруйнівнішою формою» кіберзлочинності у США: на них припало 49% усіх інцидентів із сукупними збитками в $8,6 млрд.

Вразливість у бездротових навушниках дозволяла хакерам прослуховувати користувачів iPhone

Apple випустила оновлення прошивки для бездротових навушників Beats Studio Buds, що закриває вразливість високого ступеня небезпеки.

Пролом, про який повідомили експерти SentinelOne ще в січні, дозволяв зловмисникам таємно підключатися до пристрою та використовувати вбудований мікрофон для шпигунства.

Проблема, що отримала ідентифікатор CVE-2025-20701, пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK від розробника чипів Airoha. Дефект дозволяє хакеру, який перебуває в радіусі дії Bluetooth, віддалено підключити своє обладнання з навушниками без відома та згоди користувача — за умови, що гарнітура ще не спарена й активно шукає підключення. Вразливість успішно усунено в оновленні прошивки Beats версії 1B211.

За словами фахівців, експлойт може бути активований через стандартний Bluetooth або протокол з низьким енергоспоживанням (BLE) без будь-якої автентифікації. Окрім прослуховування, атака надає зловмисникам практично повний контроль над пристроєм: вона дозволяє читати та перезаписувати оперативну та флеш-пам'ять навушників. Ба більше, хакери можуть перехоплювати встановлені довірчі відносини з раніше спареними смартфонами, що відкриває вектор для розвитку складніших багатоступеневих атак.

Також на ForkLog:

• Застарілий контракт у мережі Aztec зазнав зламу на $2 млн.
• Кентуккі слідом за іншими штатами подав позов проти Polymarket.
• Велика Британія заборонить соцмережі дітям до 16 років.
• Верховний суд РФ визнав криптовалюту предметом викрадення.
• Bitbank пригрозила блокуваннями за пов'язані з Polymarket транзакції.

Що почитати на вихідних?

Ідеї, що змінюють світ, майже завжди народжуються на периферії — серед людей, яких сучасники вважають диваками. У новому матеріалі ForkLog розібрався, чому першопрохідці, як-от Джек Парсонс, нерідко залишаються в тіні здійснених ними революцій.

Джерело: ForkLog