Ciberamenazas de la semana: Gusano USB para robo de criptomonedas, troyano Rokarolla y vulnerabilidad en Beats Studio Buds

Esta semana, el panorama de las ciberamenazas se ha enriquecido con una serie de peligrosos hallazgos dirigidos a la comunidad cripto. Desde gusanos que se autopropagan hasta complejos troyanos para Android, los atacantes continúan perfeccionando sus métodos, aprovechando tanto vulnerabilidades técnicas como técnicas de ingeniería social.
Gusano USB: una amenaza oculta en tu memoria USB
Analistas de Microsoft han identificado una campaña de distribución de un malware autorreplicante dirigido a propietarios de criptomonedas. El mecanismo de infección se activa al abrir un archivo de acceso directo modificado (.LNK) en una unidad USB. Tras esto, el gusano establece conexión con un servidor de comando y control ubicado en la zona de dominio .onion y comienza a escanear el sistema local.
Al detectar documentos de usuario, el malware oculta los originales y los reemplaza con accesos directos maliciosos con nombres idénticos. De esta manera, el programa se activa cada vez que la víctima intenta abrir sus archivos de trabajo. Para autopropagarse, el gusano crea una tarea programada que lo copia en cualquier nueva unidad USB que se conecte al ordenador.
El robo de criptomonedas se produce mediante la interceptación del portapapeles. El malware monitorea los datos copiados en busca de frases semilla BIP39 de 12 y 24 palabras, así como direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectar una dirección objetivo, la reemplaza instantáneamente por los datos de los atacantes. Para engañar a la víctima, el algoritmo selecciona billeteras cuyos caracteres iniciales coinciden visualmente con los originales.
El principal indicador de infección es una actividad anómala en segundo plano de los procesos wscript.exe y cscript.exe, así como conexiones no autorizadas a localhost:9050 (el puerto estándar de Tor).
Rokarolla: un nuevo troyano Android con control total
Investigadores de Zimperium han descubierto el troyano Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se distribuye a través de sitios falsos que se hacen pasar por instaladores de TikTok y Google Chrome. Tras la descarga, se hace pasar por un componente del sistema Google Play Protect y, mediante ingeniería social, obliga a la víctima a conceder acceso a "Accesibilidad".
Una vez obtenido el permiso, el troyano desactiva el escáner real de Play Protect y despliega toda su funcionalidad. Intercepta códigos PIN, lee SMS y manipula el portapapeles para robar criptomonedas. Una superposición separada imita la pantalla de bloqueo estándar de Android, permitiendo robar la contraseña o el patrón gráfico. Para eludir la autenticación de dos factores, Rokarolla intercepta códigos bancarios de un solo uso y puede bloquear llamadas entrantes de sistemas antifraude.
Apple cierra una peligrosa vulnerabilidad en Beats Studio Buds
Apple ha lanzado una actualización de firmware para los auriculares inalámbricos Beats Studio Buds, que corrige la vulnerabilidad CVE-2025-20701. El problema, descubierto por expertos de SentinelOne, permitía a atacantes dentro del alcance de Bluetooth conectarse de forma remota al dispositivo y utilizar el micrófono incorporado para espiar.
La brecha está relacionada con una autorización incorrecta en el SDK de audio Bluetooth del desarrollador de chips Airoha. El exploit puede activarse a través de Bluetooth estándar o el protocolo BLE sin necesidad de autenticación alguna. Además de la escucha, el ataque proporcionaba un control casi total sobre el dispositivo, incluyendo la capacidad de leer y sobrescribir la memoria, así como interceptar relaciones de confianza con teléfonos inteligentes previamente emparejados.
Opinión del experto: Esta semana demuestra una vez más que los ciberdelincuentes se están adaptando activamente a las nuevas realidades. Los gusanos USB, que alguna vez parecían una reliquia del pasado, vuelven a ser relevantes gracias a su capacidad para eludir los sistemas de seguridad en la nube. Especialmente preocupante es el uso por parte de los atacantes de complejos métodos de ingeniería social, como la reputación falsa en GitHub y YouTube. Los propietarios de criptomonedas deben extremar la precaución: no conectar unidades USB desconocidas, verificar cuidadosamente los permisos de las aplicaciones en Android y actualizar oportunamente el firmware de todos los dispositivos, incluidos los auriculares.