加密新闻

20.06.2026
09:12

本周网络威胁:USB蠕虫、安卓木马与加密货币领域的虚假声誉

security_new1

本周,加密货币领域的网络安全形势又增添了一系列令人担忧的事件。攻击者正积极改进其手段,既利用社会工程学,也采用复杂的技术方案。在本期综述中,我将剖析那些需要每位市场参与者密切关注的关键事件。

虚假信誉与加密货币剪贴板劫持器:社会工程学的新时代

一场大规模恶意软件传播活动旨在窃取加密货币,其手段是利用伪造的信誉系统。攻击者在 GitHub、YouTube 和 VirusTotal 等平台上构建了复杂的“幽灵网络”基础设施。主要工具是一个用 Rust 编写、可在 Windows 和 macOS 上运行的加密货币剪贴板劫持器。它会监控剪贴板,并将复制的钱包地址替换为攻击者的账户信息。

为提升可信度,黑客使用刷出来的点赞、虚假账户,甚至在教学视频中使用 AI 生成的声音。在 SourceForge 上,下载计数器通过安卓设备农场被人为抬高至 44,000 次。这种策略是战术上的危险转变,可能被用于传播更复杂的威胁,包括勒索软件。

USB 蠕虫:通过隐藏的 Windows 快捷方式自我复制

微软专家披露了一场使用自我复制蠕虫的活动的细节。感染始于在 USB 驱动器上打开一个经过修改的快捷方式文件 (.LNK)。之后,恶意软件会扫描系统,隐藏原始文档,并用同名的恶意快捷方式替换它们。每当用户试图打开自己的文件时,恶意软件就会被激活。

该蠕虫使用 Tor 与命令服务器通信,并监控剪贴板以查找 BIP39 助记词和钱包地址(比特币、以太坊、波场、门罗币)。一旦发现,就会将其替换为攻击者的地址。每十秒钟会截取五张屏幕截图。该活动至少从二月份就已活跃,主要感染指标是行为特征而非签名特征。

Android 木马 Rokarolla:对设备的完全控制

Zimperium 的研究人员发现了一种新的 Android 木马 Rokarolla,它拥有 137 条远程命令。该木马通过伪装成 TikTok 或 Google Chrome 安装程序的恶意网站进行传播。第一阶段,受害者下载一个模仿 Google Play Protect 系统组件的程序,并通过社会工程学获取“无障碍服务”权限。

之后,木马会禁用真正的 Play Protect 扫描器,并能拦截 PIN 码、读取和发送短信,以及替换剪贴板以窃取加密货币。它还会为加密货币钱包创建虚假的 HTML 授权页面,并能模拟 Android 锁屏界面。为绕过双因素认证,木马会拦截短信中的一次性验证码,并能阻止来自银行反欺诈系统的来电。

Beats Studio Buds 漏洞:通过耳机进行间谍活动

苹果发布了 Beats Studio Buds 的固件更新,修复了漏洞 CVE-2025-20701。这个由 SentinelOne 专家发现的漏洞,允许蓝牙范围内的攻击者在用户不知情的情况下连接到耳机,并利用内置麦克风进行间谍活动。问题源于蓝牙音频 SDK 中的授权不当。该漏洞几乎提供了对设备的完全控制,包括读取和覆写内存,以及拦截与之前配对智能手机的信任关系。

我的评论: 本周的情况清楚地表明,攻击者正从简单的钓鱼攻击转向复杂的多层次方案。尤其令人担忧的是,在我们习惯信任的平台上使用虚假信誉和社会工程学手段。加密货币持有者在安装任何软件时都应极度谨慎,尤其是那些承诺轻松赚钱的软件。定期更新固件以及在授予权限时保持警惕,是您的第一道防线。