网络安全周报:USB蠕虫威胁加密钱包、Beats Studio Buds存在漏洞、Android木马新浪潮来袭

本周,数字资产持有者面临的网络威胁格局中又增加了多个危险的攻击向量。从自我传播的USB蠕虫到复杂的Android木马,攻击者不断改进其战术。我分析了关键事件,并准备分享细节。
USB蠕虫:通过Windows隐藏快捷方式窃取加密货币的新方法
特别值得关注的是,一场恶意软件利用物理介质进行自我传播的活动。其机制在打开USB驱动器上修改过的快捷方式文件(.LNK)时触发。激活后,蠕虫会连接至.onion域名下的命令服务器,下载额外模块。
关键特征在于,恶意软件会扫描系统以查找用户文档,隐藏原始文件并用恶意快捷方式替换。这样一来,每次访问文件都会引发连锁反应。为了自我复制到新的USB磁盘,它会创建一项计划任务,监控外部介质的连接。
只有当“任务管理器”未运行时,窃密程序才会进入活跃阶段。它以半秒为间隔监控剪贴板,拦截BIP39助记词以及比特币、以太坊、波场和门罗币钱包地址。一旦检测到复制的地址,程序会将其替换为攻击者的账户信息,并选择视觉上相似的字符。此外,每十秒会截取五张屏幕截图。该活动自二月份以来已被记录,主要感染指标是行为特征:wscript.exe的可疑活动、意外的Curl启动以及连接至localhost:9050。
Android木马Rokarolla:完全控制设备
研究人员发现了一种新的Android木马Rokarolla,其武器库包含137条远程命令。它通过伪装成TikTok和Google Chrome安装器的虚假网站传播。第一阶段是模拟Google Play Protect系统组件,随后利用社会工程学手段迫使受害者授予“无障碍服务”权限。
获得权限后,木马会禁用真正的Play Protect,并为目标列表中的每个活跃应用下载伪造的HTML授权页面。当用户打开合法的加密货币钱包时,恶意软件会用伪造窗口覆盖它。一个单独的覆盖层模拟Android锁屏界面以窃取PIN码。为了绕过双重认证(2FA),木马会读取所有短信,并可阻止来自银行反欺诈系统的来电。主要防护措施是在授予“无障碍服务”权限时保持警惕。
Beats Studio Buds漏洞:通过蓝牙进行窃听
苹果发布了Beats Studio Buds的固件更新,修复了CVE-2025-20701漏洞。该漏洞与蓝牙音频SDK中的授权不当有关,允许蓝牙范围内的攻击者在用户不知情的情况下连接耳机,前提是耳机未配对且处于搜索模式。漏洞利用通过标准蓝牙或BLE激活,无需身份验证,从而提供对设备的几乎完全控制:从窃听到拦截与之前配对智能手机的信任关系。
分析师观点
本周显示出令人担忧的趋势:攻击者正从简单的钓鱼攻击转向复杂的多阶段方案,利用物理介质和完全控制移动设备。通过Tor运行的USB蠕虫是威胁的进化,要求用户不仅保持数字警惕,还要注意物理安全。我建议限制使用第三方USB驱动器,并定期检查wscript.exe和cscript.exe进程的活动。