本周加密货币威胁:窃取助记词的USB蠕虫、完全控制设备的Android木马以及Beats Studio Buds漏洞

加密货币安全领域持续展现威胁的演变:从复杂的社会工程攻击到硬件漏洞。本周,我们目睹了一系列针对数字资产持有者的攻击,每一桩都值得高度关注。
USB蠕虫:自我传播的新高度
微软专家发现了一场传播自我复制恶意软件的活动,该恶意软件利用Windows隐藏快捷方式。通过USB驱动器感染系统后,蠕虫会隐藏原始用户文件,并将其替换为恶意的.LNK文件。每当受害者试图打开文档时,病毒就会被激活,随后通过计划任务将自身复制到新的U盘上。
该恶意软件用Rust编写,旨在窃取加密货币:它监控剪贴板,将比特币(包括Taproot)、以太坊、波场和门罗币的钱包地址替换为攻击者的账户信息。尤其危险的是,它能拦截12字和24字的BIP39助记词。蠕虫使用内置Tor与命令服务器通信,每十秒截取一次屏幕截图。主要感染迹象是wscript.exe和cscript.exe的异常活动。
Android木马Rokarolla:完全控制设备
Zimperium研究人员发现了一种新的Android木马Rokarolla,其武器库包含137条远程命令。该恶意软件伪装成TikTok和Google Chrome的安装程序,第一阶段模仿系统组件Google Play Protect。一旦获得“无障碍服务”权限,它就会禁用真正的Play Protect扫描器,并展开全面攻击。
Rokarolla拦截PIN码,读取并发送短信,同时使用内置剪贴板替换加密货币钱包地址。为了绕过双重认证,木马会拦截一次性银行验证码,并阻止来自反欺诈系统的来电。此外,它还能模仿Android标准锁屏界面,窃取图案锁或密码。
Beats Studio Buds漏洞:通过蓝牙窃听
苹果发布了Beats Studio Buds的固件更新,修复了漏洞CVE-2025-20701。该漏洞由SentinelOne专家发现,允许蓝牙范围内的黑客无需认证即可连接耳机,并利用内置麦克风进行间谍活动。该漏洞还允许读取和重写RAM及闪存,并拦截与之前配对智能手机的信任关系。
本周其他事件
- 加密货币剪贴板木马通过GitHub和YouTube上的虚假信誉传播,利用“幽灵网络”刷点赞和下载量。
- 韩国执法机构摧毁了一个为柬埔寨钓鱼集团洗钱1110万USDT的网络,动用了11300个账户。
- FBI警告新战术:当银行阻止交易时,诈骗者雇佣快递员从加密货币骗局受害者处收取现金。
- Aztec网络上的一个过时合约遭到黑客攻击,损失200万美元。
专家评论:当前这波攻击表明,攻击者已从简单的钓鱼方案转向多阶段操作,使用自我传播的蠕虫和完全控制设备的木马。尤其令人担忧的是USB蠕虫集成了Tor——这使得基于签名的传统检测方法几乎失效。建议用户更新所有蓝牙设备的固件,禁用USB设备的自动运行,并在Android上仔细检查权限授予。