本周网络威胁:USB蠕虫攻击加密钱包,苹果修复Beats漏洞,新型安卓木马出现

过去一周的网络安全领域可谓波澜起伏:从针对加密货币投资者的复杂多阶段攻击,到流行设备中的关键漏洞。我们来梳理一下那些不容忽视的关键事件。
具备自我传播功能的USB蠕虫:Windows面临的新威胁
微软专家详细描述了一场旨在窃取加密货币的自我复制恶意软件传播活动。感染过程始于用户打开U盘上经过修改的.LNK文件。随后,蠕虫通过Tor网络秘密连接至命令服务器,并开始扫描系统。
其关键特点在于将用户原始文档替换为同名的恶意快捷方式。每当受害者试图打开自己的文件时,恶意软件就会被激活。为了传播到新的USB设备,它会创建一个计划任务,在新磁盘插入时立即复制病毒。
在活跃阶段,该窃密软件每半秒监控一次剪贴板,替换比特币、以太坊、波场和门罗币的钱包地址,同时窃取12词和24词的BIP39助记词。算法会选择那些起始字符视觉上与原始地址相似的钱包,以迷惑受害者。此外,每十秒会截取五张屏幕截图。主要的感染迹象包括wscript.exe和cscript.exe进程的异常活动,以及连接到localhost:9050(Tor端口)。
苹果修复Beats Studio Buds漏洞
苹果公司发布了Beats Studio Buds无线耳机的固件更新(版本1B211),修复了关键漏洞CVE-2025-20701。该问题存在于Airoha的蓝牙音频SDK中,当耳机处于配对搜索模式时,攻击者可在蓝牙范围内未经用户同意远程连接耳机。
该漏洞使黑客能够访问内置麦克风进行窃听,并读取和覆写设备的RAM和闪存。此外,攻击者还能劫持与之前配对iPhone的信任关系,为更复杂的多阶段攻击铺平道路。强烈建议所有Beats Studio Buds用户立即安装更新。
Android木马Rokarolla:完全控制设备
Zimperium的研究人员发现了一种新的Android木马Rokarolla,其武器库中包含了137条远程命令。该恶意软件通过伪装成TikTok或谷歌Chrome安装程序的虚假网站传播。第一阶段,它模仿系统组件Google Play Protect,并通过社会工程学手段诱骗用户授予“无障碍服务”权限。
获得权限后,木马会禁用真正的Play Protect扫描器,并加载用于加密货币钱包的虚假HTML授权页面。当受害者打开合法应用时,Rokarolla会用伪造窗口覆盖它并拦截输入的数据。另一个覆盖层则模仿Android锁屏界面以窃取PIN码。内置的剪贴板劫持器会替换剪贴板中的钱包地址。为了绕过双因素认证,木马会读取并发送短信,还能阻止来自银行反欺诈系统的来电。
专家总结
本周的趋势是攻击向量的复杂化。我们看到的不仅仅是单个恶意软件,而是完整的生态系统:从拥有自己Tor通信渠道的USB蠕虫,到能够完全瘫痪智能手机的木马。尤其令人担忧的是USB蠕虫使用隐藏快捷方式——这是一种优雅且危险的持久化方法,传统签名检测技术难以发现。建议Windows用户关注系统行为异常,而Android用户则应对任何请求“无障碍服务”权限的行为保持高度警惕。