本周网络威胁:针对加密钱包的USB蠕虫、Android木马Rokarolla以及Beats Studio Buds漏洞

过去一周,网络安全领域遭遇了一系列严重事件,直接威胁到用户的数字资产。从自我复制的USB蠕虫到复杂的Android木马,攻击者不断升级其工具。我们来梳理一下关键事件。
具备全面控制能力的USB蠕虫
近期最危险的攻击向量之一是一种USB蠕虫,它利用Windows隐藏快捷方式窃取加密货币。感染过程始于打开U盘上经过修改的.LNK文件。随后,恶意软件扫描系统,隐藏用户原始文档,并用自身快捷方式替换它们。这样一来,每次访问工作文件都会激活病毒。
特别值得关注的是其自我复制机制:蠕虫会创建一个后台任务,监控新USB设备的连接,并立即将自己复制到这些设备上。在活跃阶段,它持续监控剪贴板,寻找BIP39助记词以及Bitcoin、Ethereum、Tron和Monero钱包地址。一旦发现目标,地址就会被替换为攻击者的信息,算法会选择视觉上相似的起始字符。此外,恶意软件每十秒截取五次屏幕截图,并通过Curl发送给黑客。该活动自2月以来已被发现,主要指标是行为特征:可疑的wscript.exe和cscript.exe进程,以及连接到localhost:9050(Tor端口)。
Rokarolla:具备“完全控制”能力的新型Android木马
Zimperium的研究人员发现了Rokarolla木马,其武器库包含137条远程命令。该恶意软件伪装成TikTok和Google Chrome的安装程序,随后模仿系统组件Google Play Protect。通过社会工程学,dropper诱骗用户授予“无障碍服务”权限,之后禁用真正的Play Protect扫描器并部署主要负载。
Rokarolla能够拦截PIN码、读取和发送短信,以及替换剪贴板以窃取加密货币。它会为加密钱包创建虚假的HTML授权页面,并拦截输入的数据。一个单独的覆盖层模仿Android锁屏界面,从而窃取密码或图案解锁。为了绕过双因素认证(2FA),该木马会拦截短信中的一次性验证码,甚至阻止来自银行反欺诈系统的来电。
Apple修复Beats Studio Buds中的危险漏洞
Apple公司发布了Beats Studio Buds无线耳机的固件更新(版本1B211),修复了关键漏洞CVE-2025-20701。该漏洞由SentinelOne发现,允许蓝牙范围内的黑客在未经用户同意的情况下远程连接耳机——前提是耳机未配对且处于搜索模式。
该漏洞利用使攻击者能够访问内置麦克风进行监听,还能读取和重写设备的RAM和闪存。此外,攻击还能拦截与之前配对智能手机的信任关系,为多阶段攻击打开通道。
专家观点
本周的情况清楚地表明,网络犯罪分子正从简单的钓鱼方案转向复杂、多阶段的攻击,利用社会工程学和自动化传播机制。USB蠕虫和Rokarolla木马是攻击者如何将技术漏洞与用户行为操纵相结合的典型例子。因此,我建议加密货币投资者加强基本安全措施:禁用USB设备的自动运行功能,仔细检查Android应用请求的权限,并及时更新所有蓝牙设备的固件。忽视这些规则不仅可能导致隐私泄露,还可能造成重大财务损失。