本周网络威胁:窃取加密货币的USB蠕虫、新型安卓木马以及Beats Studio Buds漏洞

本周,网络安全领域遭遇了一系列针对加密货币持有者的严重威胁。从自我传播的USB蠕虫到精心设计的Android木马,攻击者不断升级其攻击手段。让我们来梳理一下关键事件。
USB蠕虫:加密货币持有者的新威胁
微软专家发现了一场危险的攻击活动,其中使用了自我复制的USB蠕虫。感染始于受害者在USB驱动器上打开一个经过修改的快捷方式文件(.LNK)。之后,蠕虫会从.onion域名的服务器上秘密安装额外的恶意软件。
该恶意软件会扫描系统中是否存在用户文档,隐藏原始文件,并用同名的恶意快捷方式进行替换。这样一来,每当用户试图打开自己的文件时,该程序就会被激活。为了自我传播,蠕虫会创建一个任务,监控新USB盘的连接情况,并立即将自己复制到这些盘中。
该窃密程序仅在系统未运行“任务管理器”时激活。它使用内置的Tor与命令服务器通信,并每半秒监控剪贴板中是否存在BIP39助记词以及比特币、以太坊、波场和门罗币钱包地址。一旦检测到地址,就会将其替换为攻击者的账户信息。每十秒钟,病毒会截取五张屏幕截图并发送给黑客。
我的专家意见: 这种蠕虫是经典USB感染方法适应现代现实的典型例子。使用Tor进行隐蔽通信以及用视觉上相似的字符替换钱包地址,使其尤其危险。用户在使用他人的USB驱动器时应格外小心。
Rokarolla:功能强大的新型Android木马
Zimperium的研究人员发现了一种名为Rokarolla的木马,旨在窃取加密货币。其武器库包含137条远程命令,能够拦截PIN码、读取和发送短信、操纵剪贴板以及禁用操作系统的安全机制。
该木马通过伪装成TikTok和Google Chrome等流行应用安装程序的恶意网站进行传播。第一阶段,受害者会下载一个模拟Google Play Protect系统组件的程序。利用社会工程学,该dropper会诱使用户授予“无障碍服务”权限,随后部署主要载荷并禁用真正的Play Protect扫描器。
Rokarolla会为目标列表中的每个活跃应用下载伪造的授权HTML页面。当受害者打开合法的加密钱包时,木马会用伪造窗口覆盖它并拦截账户信息。尤其危险的是模拟Android标准锁屏界面的覆盖层,这可以窃取PIN码或图案密码。为了窃取加密货币,它使用内置的剪贴板劫持器来替换剪贴板中的钱包地址。
我的专家意见: 这个木马展示了针对移动设备的攻击已经变得多么复杂。关键点在于获取“无障碍服务”权限。这应该成为任何Android用户的危险信号。
Beats Studio Buds漏洞:窃听风险
苹果发布了Beats Studio Buds无线耳机的固件更新,修复了漏洞CVE-2025-20701。该漏洞由SentinelOne专家发现,允许蓝牙范围内的攻击者在未经用户同意的情况下连接到耳机,并利用内置麦克风进行间谍活动。
问题源于蓝牙音频SDK中的授权不当。该漏洞为黑客提供了对设备的几乎完全控制权,包括读取和重写内存的能力,以及拦截与配对智能手机之间的信任关系。
我的专家意见: 这个漏洞提醒我们,即使是看似无害的设备,如耳机,也可能成为攻击的入口。定期更新所有蓝牙设备的固件是确保安全的必要做法。