本周加密货币威胁:针对Windows的USB蠕虫、Android木马Rokarolla以及Beats Studio Buds中的漏洞

本周,加密货币社区面临的网络威胁格局中新增了多个危险的攻击向量。从自我复制的蠕虫病毒到复杂的安卓木马,攻击者不断升级其工具包。我们来分析一下加密货币安全领域的关键事件。
具备窃取功能的USB蠕虫:加密货币持有者的新威胁
微软专家披露了一场传播自我复制恶意软件的活动细节,该恶意软件旨在窃取数字资产。感染发生在打开U盘上经过修改的快捷方式(.LNK)时。激活后,蠕虫会秘密从.onion域名的命令服务器下载有效负载。
感染机制极其阴险:恶意软件扫描系统,隐藏用户的原始文档,并用同名快捷方式替换它们。每当受害者试图打开自己的文件时,病毒就会再次激活。为了自我传播,蠕虫会创建一个计划任务,监控新U盘的连接并立即将自身复制到其中。
在活跃阶段,窃取程序每半秒监控一次剪贴板,寻找12个和24个单词的BIP39助记词,以及比特币、以太坊、波场和门罗币的钱包地址。一旦发现,它会将其替换为攻击者的账户信息,算法会选择视觉上起始字符相似的钱包。此外,每十秒会截取五张屏幕截图。感染迹象包括wscript.exe、cscript.exe进程的可疑活动,以及未经授权连接到localhost:9050(Tor标准端口)。
安卓木马Rokarolla:对设备的完全控制
Zimperium的研究人员发现了一种新的安卓木马Rokarolla,其武器库包含137个远程命令。该恶意软件通过伪装成TikTok和谷歌Chrome安装程序的虚假网站传播。第一阶段,受害者被诱骗授予“无障碍服务”权限,之后木马会禁用Play Protect保护并展开全部功能。
Rokarolla使用虚假的HTML授权页面来替换合法的加密货币钱包,并模仿安卓锁屏界面窃取PIN码。内置的剪贴板劫持程序会替换剪贴板中的地址,为了绕过双因素认证,木马会拦截短信。此外,通过将自身设置为默认通话应用,它能够阻止来自银行反欺诈系统的来电。
Beats Studio Buds漏洞:未经同意的窃听
苹果发布了Beats Studio Buds的固件更新,修复了高危漏洞CVE-2025-20701。该问题存在于Airoha的蓝牙音频SDK中,允许蓝牙范围内的攻击者无需认证即可连接到耳机,并激活内置麦克风进行间谍活动。
该漏洞还允许读取和重写设备的RAM和闪存,以及拦截与之前配对智能手机的信任关系。该漏洞已在固件版本1B211中修复。
本周其他事件
- 韩国执法部门逮捕了23名嫌疑人,他们涉嫌为柬埔寨一个钓鱼组织洗钱1110万USDT。该计划涉及11300个账户,被盗资金总额达1700万美元。
- 美国联邦调查局警告了一种新的加密货币诈骗手段:诈骗者雇佣快递员从受害者处收取现金,这些受害者的银行交易被安全系统阻止。2025年,美国此类骗局造成的损失已达86亿美元。
- Aztec网络中的一个过时合约遭到黑客攻击,损失达200万美元。
专家评论:本周清楚地表明,网络犯罪分子正在转向多向量攻击,将社会工程学与技术复杂的方法相结合。USB蠕虫尤其令人担忧——其自我复制和伪装成用户文件的能力使其对企业部门极为危险。我建议所有加密货币持有者立即更新耳机固件,并仔细检查授予移动应用程序的权限。