加密货币资产网络战:USB蠕虫、虚假信誉与新安卓木马——威胁摘要

过去一周,加密货币领域的网络威胁格局发生了若干重大变化。我和同事们分析了直接威胁散户投资者及机构参与者的最危险事件。从自我传播的USB蠕虫到复杂的社会工程学骗局,攻击者的武器库正变得越来越精密。
虚假声誉作为武器:GitHub和YouTube上的加密货币剪贴板劫持器
攻击者发起了一场植入加密货币剪贴板劫持器的活动,利用合法营销手段构建虚假的“声誉经济”。其最终目的是在Solana和Pump.fun生态系统中,以交易工具为幌子,通过替换剪贴板数据来窃取加密货币。
这款用Rust编写的剪贴板劫持器针对Windows和macOS系统。它会暗中监控剪贴板,一旦检测到复制的钱包地址,便立即将其替换为黑客的收款信息。为建立信任,攻击者构建了复杂的“幽灵网络”基础设施:在VirusTotal上,虚假账户大量发布正面评论,以错误地将恶意文件归类为安全文件;在SourceForge上,通过Android设备农场将下载计数人为抬高至44,000次;在YouTube上,则利用一个拥有超过91,000名订阅者的频道,使用AI生成的声音推广软件。
这种社会工程学策略的转变极其危险。这种经过验证的跨平台声誉刷量方案,未来可能被用于大规模传播勒索软件和更复杂的信息窃取器。
具备自我传播功能的USB蠕虫
微软专家披露了一场针对加密货币持有者的自我复制恶意软件传播活动的细节。当受害者打开USB驱动器上的一个修改过的快捷方式文件(.LNK)时,感染过程即被激活。该蠕虫会扫描系统,隐藏原始文档并将其替换为恶意快捷方式。为了实现自我传播,它会创建一个监控端口的计划任务,并立即将自身复制到任何新插入的USB磁盘上。
只有当系统中未运行“任务管理器”时,该信息窃取器才会进入活跃阶段。它通过Tor与命令服务器建立连接,并每半秒监控一次剪贴板,以查找BIP39助记词以及比特币、以太坊、波场和门罗币的钱包地址。此外,该病毒每十秒会截取五张屏幕截图并发送给黑客。至少从二月份起,该蠕虫的活动就已被记录,其主要“危险信号”是wscript.exe和cscript.exe进程的可疑后台活动。
新型Android木马Rokarolla:完全控制设备
Zimperium的研究人员发现了一种针对窃取加密货币的Android木马。恶意软件Rokarolla拥有137条远程命令,能够拦截PIN码、读取短信、操纵剪贴板以及禁用操作系统内置的保护机制。该软件通过伪装成TikTok和Google Chrome安装程序的恶意网站进行传播。
在第一阶段,受害者下载一个模拟Google Play Protect系统组件的程序。利用社会工程学,该dropper会诱使用户授予“无障碍服务”权限,随后禁用真正的Play Protect扫描器。一个单独的覆盖层会模拟标准的Android锁屏界面,从而窃取PIN码,即使在设备锁定状态下也能获得对智能手机的完全控制。
上门收款员:加密货币骗局的新策略
FBI报告了加密货币“杀猪盘”骗局运营者采用的新策略。攻击者开始雇佣上门收款员,从那些交易被银行安全系统阻止的受害者那里收取资金。在说服受害者提取现金后,诈骗者会派出一名收款员,该收款员通过预先约定的密码进行身份识别。收到钱后,黑客会模拟虚拟钱包中的余额增加,并重新开始循环,要求支付新的款项以缴纳虚构的“税款”。
Beats Studio Buds漏洞:通过蓝牙进行窃听
苹果发布了Beats Studio Buds的固件更新,修复了漏洞CVE-2025-20701。该问题与蓝牙音频SDK中的授权不当有关,允许在蓝牙范围内的黑客在用户不知情的情况下远程将自己的设备连接到耳机。该漏洞提供了对设备的几乎完全控制,包括通过内置麦克风进行窃听的能力。
我的专业意见:我们正目睹经典网络攻击方法与新技术的融合——从AI语音生成到使用Tor进行隐蔽通信。加密货币投资者需要重新审视自己的安全习惯:拒绝使用来源不明的USB驱动器,仔细检查Android应用的权限,并对任何在线“声誉”持批判态度——这是保护资产的最低限度措施。