伪装信任:虚假声誉、USB蠕虫与新型安卓木马——本周网络安全威胁摘要

加密货币安全领域持续带来新的挑战。本周,我们目睹了一系列攻击,从GitHub上精心策划的声誉操纵方案,到能够自我复制的USB蠕虫病毒。我分析了关键事件,以便您能随时掌握最新动态。
虚假声誉作为工具:针对Solana和Pump.fun的加密货币剪贴板劫持器
攻击者将社会工程学提升到了新高度,创建了一个完整的“声誉经济”来推广恶意软件。该方案的核心是一个用Rust编写的加密货币剪贴板劫持器,目标针对Windows和macOS系统。它伪装成Solana和Pump.fun生态系统中的交易工具,以及博彩软件。
黑客在多个平台上构建了复杂的“幽灵网络”基础设施。在VirusTotal上,一个虚假账户集群大量发布正面评论,以错误地将恶意文件归类为安全文件。在GitHub和SourceForge上,则利用账户网络相互推广仓库,而在SourceForge上,下载计数器通过Android设备农场被人为抬高至44,000次。在YouTube上,一个拥有超过91,000名订阅者的频道被用于推广,其中的教学视频由AI语音生成器创建,并伴有刷出来的评论。为了使工具合法化,黑客使用新闻稿分发服务,这些新闻稿随后会被合作新闻网站自动转载。这是一种危险的策略转变:这种经过验证的方案可能被用于大规模传播勒索软件和更复杂的信息窃取器。
USB蠕虫:隐藏的快捷方式与助记词窃取
微软专家揭露了一场针对加密货币持有者的自我复制恶意软件活动。感染过程在打开USB驱动器上的恶意快捷方式文件时被激活。该蠕虫会从.onion域名的命令服务器隐蔽地安装额外负载,扫描系统中是否存在用户文档,将其替换为恶意快捷方式,并创建一个计划任务以实现向新USB驱动器的自我传播。
在活跃阶段,该信息窃取器会监控剪贴板,查找BIP39助记词和比特币、以太坊、波场及门罗币钱包地址。一旦发现,它会立即将其替换为攻击者的信息,并选择视觉上起始字符相匹配的钱包。每十秒钟,病毒会截取五次屏幕截图并发送给黑客。该活动至少从二月份开始就被记录,主要感染指标是行为性的:wscript.exe和cscript.exe的异常活动、Curl和PowerShell的意外启动,以及连接到localhost:9050(Tor端口)。
韩国打击洗钱者:11,300个账户与1700万美元损失
韩国执法部门逮捕了23名涉嫌为柬埔寨钓鱼组织洗钱的嫌疑人。从2024年2月到2025年4月,该团伙通过一个复杂的路由网络,利用国内外加密货币交易所转移了约1110万USDT。为了洗钱,犯罪分子使用了约11,300个不同的账户,这些账户与265起事件中约1700万美元的被盗资金有关。在突击搜查中,查获了约43万美元,但涉嫌的主谋仍在逃,国际刑警组织已对其发出国际逮捕令。
新型Android木马Rokarolla:137条命令与对设备的完全控制
Zimperium的研究人员发现了一种名为Rokarolla的Android木马,旨在窃取加密货币。其武器库包含137条远程命令,能够拦截PIN码、读取短信、操纵剪贴板以及禁用操作系统的内置保护机制。该恶意软件通过伪装成TikTok和Google Chrome安装程序的虚假网站进行传播。其释放器模仿系统组件Google Play Protect,并通过社会工程学手段诱使用户授予“无障碍服务”权限,随后部署主要负载并禁用真正的Play Protect扫描器。
Rokarolla会为目标列表中的每个活跃应用下载虚假的授权HTML页面,从而拦截加密货币钱包的凭证。一个单独的覆盖层会模仿标准的Android锁屏界面,从而窃取PIN码或图案密码。内置的剪贴板劫持器会替换复制的钱包地址,而读取短信和发送消息的能力则允许绕过双因素认证。此外,该木马还能阻止来自银行反欺诈系统的来电。主要的防御措施是在授予“无障碍服务”权限时保持警惕。
“杀猪盘”的快递员与Beats Studio Buds的漏洞
FBI警告称,加密货币“杀猪盘”诈骗的运营者采用了新策略:他们开始雇佣快递员从受害者处收取现金,这些受害者的交易被银行安全系统阻止。诈骗者通过社交媒体建立信任,然后以“账户冻结”为借口说服受害者提取现金,并派遣持有预先约定密码的快递员上门。根据FBI 2025年的数据,加密货币和投资诈骗仍然是美国最具破坏性的网络犯罪形式:占所有事件的49%,总损失达86亿美元。
苹果发布了Beats Studio Buds的固件更新,修复了漏洞CVE-2025-20701。该漏洞允许蓝牙范围内的攻击者秘密连接到耳机,利用内置麦克风进行窃听,甚至劫持与之前配对智能手机的信任关系。该漏洞与Airoha的蓝牙音频SDK中的授权不当有关,并已在固件版本1B211中成功修复。
我的专家观点: 本周表明,攻击者不仅在技术上变得更加老练,在心理层面也更具深思熟虑。操纵众包平台和使用“声誉网络”是一个令人担忧的信号。投资者应加倍谨慎:不仅要相信评论和评级,还要通过多个独立来源检查每个下载的应用程序。USB蠕虫和Android木马提醒我们,基本的安全卫生习惯——定期更新和拒绝可疑链接——仍然是您最重要的盾牌。