本周分析:加密剪贴器升级版、新一代USB蠕虫与韩国市场的溃败

网络安全领域持续带来意外,本周我们目睹了一系列攻击事件,迫使人们重新审视保护数字资产的常规方法。从复杂的多层社会工程学方案到硬件漏洞,威胁正变得愈发精巧。
虚假声誉作为武器:GitHub和YouTube上的加密货币剪贴板劫持器
攻击者展示了更高水平的技巧,利用合法的营销工具制造虚假信任。在一场大规模活动中,黑客构建了一整套“声誉经济”,以伪装成Solana和Pump.fun交易工具的方式植入加密货币剪贴板劫持器。
这款用Rust编写的剪贴板劫持器针对Windows和macOS系统。其任务是监控剪贴板,并瞬间将钱包地址替换为攻击者的账户信息。但关键在于“幽灵网络”基础设施。VirusTotal、GitHub、SourceForge和YouTube上的虚假账户协同刷点赞、评论和下载量。在SourceForge上,计数器通过Android设备农场被人为抬高至44,000。一个拥有91,000订阅者的YouTube频道使用AI语音制作教程视频。这是一个危险的先例:经过成功验证的方案可能被用于传播勒索软件和信息窃取器。
USB蠕虫:通过隐藏的Windows快捷方式自我复制
微软专家披露了一场活动的细节,其中USB蠕虫利用自我传播技术,隐藏在修改后的.LNK文件中。当在U盘上打开此类快捷方式时,恶意软件会从.onion服务器下载有效载荷,扫描系统查找文档,将其隐藏并替换为同名的恶意快捷方式。
该蠕虫会创建一个计划任务,监控新USB磁盘的连接并立即将自身复制到其中。它仅在“任务管理器”未运行时处于活跃状态。窃取器每半秒监控一次剪贴板,查找BIP39助记词以及比特币、以太坊、波场和门罗币的地址。一旦发现,立即替换。每十秒截取五张屏幕截图。感染指标为行为特征:wscript.exe、cscript.exe、Curl、PowerShell的意外启动以及连接到localhost:9050。
韩国:捣毁为柬埔寨集团服务的洗钱网络
韩国执法部门逮捕了23名涉嫌为柬埔寨钓鱼组织洗钱的人员。该网络通过国内外交易所的11,300个账户进行复杂的资金路由。从2024年2月到2025年4月,转移了1110万USDT,这些资金与265起事件中被盗的1700万美元有关。已扣押43万美元,但组织者正通过国际刑警组织的“红色通缉令”被追捕。
Android木马Rokarolla:137条命令实现完全控制设备
Zimperium的研究人员发现了木马Rokarolla,它通过虚假网站传播,伪装成TikTok或Google Chrome。安装后,它会模仿系统组件Google Play Protect,并强制用户授予“无障碍服务”权限。获得权限后,该木马会禁用真正的Play Protect,并部署包含137条远程命令的完整武器库。
Rokarolla拦截PIN码、读取短信、替换剪贴板以窃取加密货币,甚至阻止来电,使受害者无法收到银行警告。一个单独的覆盖层模拟Android锁屏界面,从而窃取密码。这再次证实:主要防护措施是在授予“无障碍服务”权限时保持警惕。
Apple修复Beats Studio Buds中的漏洞
Apple发布了Beats Studio Buds的固件更新,修复了关键漏洞CVE-2025-20701。该漏洞由SentinelOne发现,允许蓝牙范围内的黑客无需认证即可连接耳机,并利用内置麦克风进行窃听。该漏洞还允许读取和重写内存,以及拦截与配对设备的信任关系。修复版本为1B211。
专家观点:本周表明,我们正进入混合攻击时代,社会工程学与技术漏洞融为一体。尤其令人担忧的是在众包平台上制造虚假声誉——这动摇了开放生态系统中信任的基础。对用户而言,这意味着不能相信点赞、星级评分,甚至“经过验证”的频道。唯一可靠的盾牌是自身的网络安全卫生习惯和多因素身份验证。