Ми зібрали найважливіші новини зі світу кібербезпеки за тиждень.

• Криптокліпер поширили за допомогою фейкової репутації на GitHub і YouTube.
• USB-черв'як самопоширювався через приховані ярлики Windows для крадіжки криптовалют.
• Правоохоронці Південної Кореї ліквідували мережу з відмивання криптовалют для камбоджійського синдикату.
• Дослідники виявили новий Android-троян для крадіжки криптовалют.

Криптокліпер поширили за допомогою фейкової репутації на GitHub і YouTube

Невідомий зловмисник розгорнув масштабну кампанію з поширення шкідливого ПЗ, використовуючи методи легітимного маркетингу для створення фейкової «економіки репутації». Про це повідомили фахівці Check Point Research.

Кінцева мета атак — впровадження криптокліперів під виглядом інструментів для трейдингу в екосистемах Solana і Pump.fun, а також софту для прогнозування результатів у беттингу.

За даними експертів, сам кліпер написаний мовою Rust і націлений на операційні системи Windows і macOS. Шкідник приховано та безперервно моніторить буфер обміну пристрою. У разі виявлення скопійованої адреси криптовалютного гаманця ПЗ миттєво підмінює її на реквізити зловмисника, перенаправляючи цифрові активи.

Щоб викликати довіру в жертв — переважно криптоінвесторів та онлайн-гравців, — хакер вибудував складну кросплатформну інфраструктуру «мереж-привидів» (Ghost Networks). Аналітики зафіксували скоординовану діяльність на платформі VirusTotal: кластер фейкових акаунтів масово залишав позитивні коментарі та лайки, щоб хибно класифікувати шкідливі файли як безпечні.

Подібна маніпуляція метриками застосовується і на інших ресурсах:

• GitHub і SourceForge. Зловмисник керує мережею акаунтів для взаємного просування репозиторіїв. На SourceForge лічильник завантажень був штучно завищений до 44 000 за допомогою ферми Android-пристроїв;
• YouTube. Для реклами софту використовується канал з понад 91 000 підписників. Навчальні ролики створюються із застосуванням ШІ-генераторів голосу й супроводжуються накрученими позитивними коментарями;
• ЗМІ. Для легалізації інструмента хакер використовує сервіси розсилки пресрелізів (наприклад, EIN Presswire), публікації яких потім автоматично передруковуються партнерськими новинними сайтами.

Дослідники Check Point підкреслили, що маніпулювання краудсорсинговими платформами вказує на небезпечний зсув у тактиці соціальної інженерії. Успішно обкатана схема з кросплатформним накручуванням репутації в майбутньому може бути застосована для масового поширення програм-вимагачів і складніших інфостилерів.

USB-черв'як самопоширювався через приховані ярлики Windows для крадіжки криптовалют

Експерти Microsoft розкрили деталі кампанії поширення саморозмножуваного шкідливого ПЗ, спрямованої проти власників криптовалют. 

Процес зараження активується, коли жертва відкриває модифікований файл ярлика (.LNK) на USB-накопичувачі. Після запуску черв'як приховано встановлює додаткові корисні навантаження з командного сервера, розташованого в доменній зоні .onion.

Шкідник сканує локальну систему на наявність користувацьких документів. Виявивши їх, програма приховує оригінали й підмінює їх шкідливими ярликами з ідентичними назвами. У результаті ПЗ активується щоразу, коли користувач намагається відкрити свої робочі файли. Для самопоширення черв'як створює заплановане завдання, яке відстежує порти. Щойно в комп'ютер вставляється новий USB-диск, вірус миттєво копіює себе на зовнішній носій.

Стилер переходить в активну фазу лише в тому випадку, якщо в системі не запущено «Диспетчер завдань». Він встановлює зв'язок з командним сервером через вбудований виконуваний файл Tor і кожні півсекунди моніторить буфер обміну на наявність чутливих даних:

• 12- і 24-словні сид-фрази BIP39;
• адреси біткоїн-гаманців (включно з Legacy, P2SH, Bech32 і Taproot), Ethereum, Tron і Monero.

У разі виявлення скопійованої адреси програма миттєво підмінює її на реквізити зловмисника. Щоб обдурити жертву, алгоритм добирає гаманці, початкові символи яких візуально збігаються з оригінальними.

Окрім перехоплення буфера обміну, кожні десять секунд вірус робить п'ять знімків екрана й надсилає їх хакерам за допомогою утиліти Curl. За спеціальною командою сервера ПЗ може завантажувати й виконувати довільні JavaScript-сценарії на зараженій машині.

Активність цього USB-черв'яка безперервно фіксується щонайменше з лютого. Дослідники підкреслили, що найочевидніші індикатори зараження мають поведінковий, а не сигнатурний характер. Головними «червоними прапорцями» зламу є підозріла фонова активність процесів wscript.exe і cscript.exe, несподівані запуски Curl, PowerShell і cmd.exe, а також несанкціоновані мережеві підключення до localhost:9050 (стандартний порт проксі-сервера Tor).

Правоохоронці Південної Кореї ліквідували мережу з відмивання криптовалют для камбоджійського синдикату

Правоохоронці Південної Кореї затримали 23 підозрюваних у справі про відмивання коштів для камбоджійської фішингової організації. Про це повідомляє Newsis.

Схема здійснювалася через складну мережу маршрутизації транзакцій з використанням як внутрішніх південнокорейських, так і закордонних криптовалютних бірж. За даними слідства, з лютого 2024 по квітень 2025 року група перемістила близько 11,1 млн USDT.

У поліції вказали на колосальний масштаб задіяної інфраструктури: для відмивання грошей зловмисники використовували близько 11 300 різних рахунків. Ці транзитні облікові записи були безпосередньо пов'язані з викраденими коштами на загальну суму приблизно $17 млн, які злочинці отримали в результаті 265 інцидентів.

У ході поліцейських рейдів вилучили кримінальні доходи на суму 650 млн вон (близько $430 000). При цьому активна фаза операції правоохоронних органів ще не завершена: ймовірний організатор угруповання й досі перебуває на свободі. Щодо нього вже видано «червоне сповіщення» Інтерполу, яке передбачає міжнародний розшук та екстрадицію.

Дослідники виявили новий Android-троян для крадіжки криптовалют

Дослідники безпеки Zimperium виявили троян для Android, націлений на крадіжку криптовалют.

За даними аналітиків, арсенал шкідника Rokarolla налічує 137 віддалених команд. Інструментарій дозволяє перехоплювати PIN-коди, читати й надсилати СМС, маніпулювати буфером обміну для крадіжки цифрових активів і примусово вимикати вбудовані механізми захисту ОС.

ПЗ поширюється через шкідливі вебсайти, які маскуються під інсталятори популярних сервісів кшталту TikTok і Google Chrome.

На першому етапі жертва завантажує програму, яка візуально імітує системний компонент Google Play Protect. Використовуючи це маскування, дропер за допомогою соціальної інженерії змушує користувача надати йому доступ до «Спеціальних можливостей». Отримавши дозвіл, шкідник розгортає основне корисне навантаження і насамперед вимикає справжній сканер Play Protect.

Rokarolla завантажує зі свого сервера фейкові HTML-сторінки авторизації для кожного активного застосунку з цільового списку. Коли жертва відкриває легітимний криптогаманець, троян миттєво перекриває його підробленим вікном і перехоплює всі введені реквізити.

Окрім цього, окремий оверлей точно імітує стандартний екран блокування Android. Це дозволяє ПЗ викрасти PIN-код, пароль або графічний ключ, даючи операторам можливість керувати смартфоном навіть у заблокованому стані. Для крадіжки криптовалюти троян задіює вбудований кліпер: він непомітно моніторить буфер обміну і підмінює скопійовані адреси гаманців на реквізити атакувальників, перенаправляючи транзакції.

Щоб подолати двофакторну автентифікацію, Rokarolla читає всі СМС на пристрої і може самостійно надсилати повідомлення, перехоплюючи одноразові банківські коди. Ба більше, призначаючи себе застосунком за замовчуванням для дзвінків і СМС, троян здатний блокувати вхідні виклики — таким чином, попереджувальний дзвінок з антифрод-системи банку просто не дійде до власника.

Експерти підкреслили, що головний захист від подібних загроз — підвищена пильність під час надання дозволів до «Спеціальних можливостей», адже саме вони запускають весь ланцюг атаки.

Організатори криптоскамів використовували кур'єрів для збору готівки

Зловмисники почали наймати кур'єрів для збору коштів у жертв, чиї транзакції блокуються банківськими системами безпеки. Про нову тактику операторів криптовалютних схем «розбирання свиней» повідомили у ФБР.

Зазвичай такі афери починаються з того, що шахраї зв'язуються з потенційними жертвами через соціальні мережі, сайти знайомств і месенджери, входять у довіру, а потім заманюють їх у фейкові інвестиційні схеми. 

Переконавши зняти готівку (наприклад, під приводом тимчасового «замороження» рахунку), шахраї відправляють кур'єра до людини, яка їм довірилася. Для ідентифікації використовується заздалегідь обумовлений пароль або серійний номер конкретної доларової купюри. Отримавши гроші, хакери симулюють збільшення балансу у віртуальному гаманці жертви й запускають цикл заново, вимагаючи нових внесків для оплати вигаданих «податків» на виведення коштів.

За даними ФБР за 2025 рік, криптовалютні та інвестиційні махінації залишаються «найруйнівнішою формою» кіберзлочинності в США: на них припало 49% усіх інцидентів із сукупним збитком у $8,6 млрд.

Вразливість у бездротових навушниках дозволяла хакерам прослуховувати користувачів iPhone

Apple випустила оновлення прошивки для бездротових навушників Beats Studio Buds, яке закриває вразливість високого ступеня небезпеки.

Пролом, про який повідомили експерти SentinelOne ще в січні, дозволяв зловмисникам таємно підключатися до пристрою й використовувати вбудований мікрофон для шпигунства.

Проблема, що отримала ідентифікатор CVE-2025-20701, пов'язана з некоректною авторизацією у Bluetooth-аудіо SDK від розробника чипів Airoha. Дефект дозволяє хакеру, який перебуває в радіусі дії Bluetooth, віддалено підключити своє обладнання з навушниками без відома та згоди користувача — за умови, що гарнітура ще не спарована й активно шукає підключення. Вразливість успішно усунена в оновленні прошивки Beats версії 1B211.

За словами фахівців, експлойт може бути активований через стандартний Bluetooth або протокол з низьким енергоспоживанням (BLE) без жодної автентифікації. Окрім прослуховування, атака надає зловмисникам практично повний контроль над пристроєм: вона дозволяє читати й перезаписувати оперативну та флеш-пам'ять навушників. Ба більше, хакери можуть перехоплювати встановлені довірчі відносини з раніше спареними смартфонами, що відкриває вектор для розвитку складніших багатоступеневих атак.

Також на ForkLog:

• Застарілий контракт у мережі Aztec зазнав зламу на $2 млн.
• Кентуккі слідом за іншими штатами подав позов проти Polymarket.
• Велика Британія заборонить соцмережі дітям до 16 років.
• Верховний суд РФ визнав криптовалюту предметом викрадення.
• Bitbank пригрозила блокуваннями за пов'язані з Polymarket транзакції.

Що почитати на вихідних?

Ідеї, які змінюють світ, майже завжди народжуються на периферії — серед людей, яких сучасники вважають диваками. У новому матеріалі ForkLog розібрався, чому першопрохідці, як-от Джек Парсонс, нерідко залишаються в тіні здійснених ними революцій.

Джерело: ForkLog