加密新闻

20.06.2026
06:20

本周加密货币威胁:隐形USB蠕虫、拥有137条指令的Android木马以及苹果耳机漏洞

security_new1

近几天记录了一系列针对数字资产持有者的严重网络攻击。从自我传播的USB蠕虫到复杂的Android木马,攻击者的武器库变得越来越精密。我们来分析一下主要威胁。

USB蠕虫:通过隐藏快捷方式窃取

微软专家发现了一场利用自我复制恶意软件窃取加密货币的活动。当受害者打开USB驱动器上的修改版.LNK文件时,感染过程启动。之后,蠕虫会从.onion域区的服务器秘密安装额外模块。

该恶意软件伪装成用户文件:它扫描系统,隐藏原始文档并用恶意快捷方式替换它们。每当用户试图打开自己的文件时,该软件都会重新激活。为了传播,蠕虫会创建一个任务,监控新USB驱动器的连接,并立即将自己复制到其中。

在活跃阶段,窃取程序每半秒监控一次剪贴板,寻找BIP39助记词以及比特币、以太坊、波场和门罗币的钱包地址。一旦发现,它会将地址替换为攻击者的信息,算法会选择视觉上起始字符相似的钱包,使受害者难以察觉替换。此外,每十秒会截取五张屏幕截图发送给黑客。

该蠕虫的活动自二月份以来已被记录。主要感染指标是行为性的:wscript.exe和cscript.exe的可疑活动、Curl和PowerShell的意外启动,以及连接到localhost:9050(Tor端口)。

Android木马Rokarolla:完全控制设备

Zimperium的研究人员发现了一种新的Android木马Rokarolla,其武器库包含137条远程命令。该恶意软件通过伪装成TikTok和Google Chrome安装程序的假冒网站传播。

在第一阶段,受害者下载一个模仿系统组件Google Play Protect的程序。通过社会工程学,木马迫使用户授予“无障碍服务”权限,之后禁用真正的Play Protect扫描器并部署主要负载。

Rokarolla为每个活跃的加密货币钱包下载伪造的HTML授权页面。当受害者打开合法应用时,木马用伪造窗口覆盖它并截获所有输入数据。一个单独的覆盖层模仿Android锁屏,允许窃取PIN码或图案密码。内置的剪贴板劫持程序替换剪贴板中的钱包地址,为了绕过双因素认证,木马读取并发送短信,还可以阻止来自银行反欺诈系统的来电。

Beats Studio Buds漏洞:通过蓝牙窃听

苹果发布了Beats Studio Buds的固件更新,修复了危险的漏洞CVE-2025-20701。该问题由SentinelOne在一月份发现,允许蓝牙范围内的攻击者远程连接到耳机,并利用内置麦克风进行间谍活动。

该漏洞与Airoha蓝牙音频SDK中的错误授权有关。利用该漏洞不仅可以窃听对话,还能读取和重写耳机的RAM和闪存,以及拦截与之前配对智能手机的信任关系。固件版本1B211的更新完全消除了这一威胁。

专家观点:本周清楚地表明,网络犯罪分子正在积极掌握新的攻击向量(带有Tor基础设施的USB蠕虫),同时也在完善旧有手段(拥有137条命令的Android木马)。消费电子产品中的漏洞尤其令人担忧——这提醒我们,安全必须是全面的,不仅涵盖软件,还要覆盖硬件。投资者应重新审视自己的习惯:不连接陌生人的USB驱动器,仔细检查应用权限,并及时更新所有设备的固件。