加密新闻

本周，针对加密货币社群的网络威胁格局新增了多个危险的攻击向量。从自我传播的USB蠕虫到复杂的Android木马，攻击者不断升级其手段。我们来分析一下关键事件。

USB蠕虫：持久性攻击的新高度

最令人担忧的发现之一是一种利用Windows隐藏快捷方式窃取加密货币的USB蠕虫。感染始于打开U盘上的一个经过修改的.LNK文件。之后，恶意软件与Tor网络中的命令服务器建立连接，并扫描系统以查找用户文档。原始文件被隐藏，取而代之的是同名恶意快捷方式——这样，每次尝试打开工作文件时，蠕虫都会被激活。

其自我传播机制尤为危险：病毒会创建一个任务，监控新USB设备的连接，并立即将自身复制到这些设备上。只有当“任务管理器”未运行时，窃密程序才会进入活跃阶段。它每半秒监控一次剪贴板，拦截BIP39助记词以及Bitcoin、Ethereum、Tron和Monero钱包地址。地址替换带有视觉伪装——会选取起始字符匹配的钱包。此外，每十秒会截取五张屏幕截图。该蠕虫的活动自二月份以来已被记录，关键感染指标是行为性的：wscript.exe、cscript.exe、Curl的意外启动，以及连接到localhost:9050。

Rokarolla：完全控制的Android木马

研究人员发现了一种针对加密货币窃取的新型Android木马Rokarolla。其武器库包含137条远程命令。该恶意软件伪装成TikTok或Google Chrome安装程序，并在第一阶段模仿系统组件Google Play Protect。通过社会工程学手段，它诱使用户授予“无障碍服务”权限，之后禁用真正的Play Protect扫描器并展开全部功能。

Rokarolla会为目标列表中的每个加密钱包下载虚假的授权HTML页面。当受害者打开合法应用时，木马会用伪造窗口覆盖它并拦截输入的数据。一个单独的覆盖层模仿Android锁屏，从而窃取PIN码或图案密码。内置的剪贴板监控器会监视剪贴板并替换钱包地址。为了绕过双因素认证，木马会读取并发送短信，还可以阻止来自银行反欺诈系统的来电。主要防护措施是：对“无障碍服务”权限请求保持极度谨慎。

Beats Studio Buds漏洞：通过蓝牙进行间谍活动

苹果发布了Beats Studio Buds的固件更新，修复了高危漏洞CVE-2025-20701。该漏洞与Airoha蓝牙音频SDK中的授权不当有关，允许蓝牙范围内的攻击者在用户不知情的情况下远程连接到耳机——前提是耳机未配对且处于搜索模式。该漏洞通过标准蓝牙或BLE触发，无需身份验证。除了通过内置麦克风进行窃听外，攻击还能对设备实现几乎完全的控制：读取和重写内存，以及拦截与之前配对智能手机的信任关系。所有用户必须更新至1B211版本。

本周其他事件

其他值得注意的事件包括：韩国捣毁了一个为柬埔寨犯罪集团洗钱1110万USDT的网络（逮捕23人），以及FBI的新策略——诈骗者雇佣快递员从受害者处收取现金，因为受害者的交易被银行阻止。提醒一下，根据FBI 2025年的数据，加密货币和投资诈骗占美国所有网络犯罪的49%，造成86亿美元的损失。

我的评论：使用具有自我传播和绕过双因素认证功能的USB蠕虫和复杂Android木马的趋势，表明加密货币网络犯罪正在走向专业化。应特别关注行为指标——传统的签名检测方法在此已无效。用户需要加强基本防护措施：禁用USB自动运行、使用硬件钱包，并定期更新所有蓝牙设备的固件。