Amenazas criptográficas de la semana: Gusano USB para robar frases semilla, troyano Android con control total del dispositivo y vulnerabilidad en Beats Studio Buds

El mundo de la seguridad criptográfica sigue mostrando la evolución de las amenazas: desde complejas ingenierías sociales hasta brechas de hardware. Esta semana observamos una cascada de ataques dirigidos a propietarios de activos digitales, y cada uno merece una atención minuciosa.
Gusano USB: un nuevo nivel de autopropagación
Especialistas de Microsoft identificaron una campaña de distribución de un malware autorreplicante que utiliza accesos directos ocultos de Windows. Al infectar el sistema a través de una unidad USB, el gusano oculta los archivos originales del usuario y los reemplaza con archivos .LNK maliciosos. Cada vez que la víctima intenta abrir un documento, se activa el virus, que luego se copia a nuevas memorias USB mediante una tarea programada.
El malware está escrito en Rust y está dirigido al robo de criptomonedas: monitorea el portapapeles, reemplazando las direcciones de billeteras de Bitcoin (incluyendo Taproot), Ethereum, Tron y Monero con los datos del atacante. Especialmente peligrosa es la interceptación de frases semilla BIP39 de 12 y 24 palabras. Para comunicarse con el servidor de comando, el gusano utiliza Tor integrado, y cada diez segundos toma capturas de pantalla. El principal indicador de infección es la actividad anómala de wscript.exe y cscript.exe.
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium descubrieron un nuevo troyano Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se disfraza de instaladores de TikTok y Google Chrome, y en la primera etapa simula ser el componente del sistema Google Play Protect. Al obtener acceso a "Accesibilidad", desactiva el escáner real de Play Protect y despliega un ataque completo.
Rokarolla intercepta códigos PIN, lee y envía SMS, y utiliza un clipper integrado para reemplazar direcciones de billeteras criptográficas. Para superar la autenticación de dos factores (2FA), el troyano intercepta códigos bancarios de un solo uso y bloquea llamadas entrantes de sistemas antifraude. Además, es capaz de imitar la pantalla de bloqueo estándar de Android para robar el patrón gráfico o la contraseña.
Vulnerabilidad en Beats Studio Buds: espionaje por Bluetooth
Apple lanzó una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. La brecha, descubierta por especialistas de SentinelOne, permitía a hackers dentro del alcance de Bluetooth conectarse a los auriculares sin autenticación y utilizar el micrófono integrado para espiar. La vulnerabilidad otorgaba acceso para leer y sobrescribir la memoria RAM y flash, así como para interceptar relaciones de confianza con teléfonos inteligentes previamente emparejados.
Otros eventos de la semana
- Los clippers criptográficos se propagan a través de reputación falsa en GitHub y YouTube, utilizando "redes fantasma" para inflar likes y descargas.
- Las autoridades de Corea del Sur desmantelaron una red de lavado de 11,1 millones de USDT para un sindicato de phishing camboyano, utilizando 11.300 cuentas.
- El FBI advierte sobre una nueva táctica: estafadores contratan mensajeros para recoger efectivo de víctimas de estafas criptográficas cuando los bancos bloquean las transacciones.
- Un contrato obsoleto en la red Aztec sufrió un hackeo de 2 millones de dólares.
Comentario experto: La ola actual de ataques demuestra que los atacantes han pasado de simples esquemas de phishing a operaciones de múltiples etapas utilizando gusanos autorreplicantes y troyanos con control total de dispositivos. Especialmente alarmante es la integración de Tor en el gusano USB, lo que hace que los métodos tradicionales de detección basados en firmas sean prácticamente inútiles. Recomiendo a los usuarios actualizar el firmware de todos los dispositivos Bluetooth, desactivar la ejecución automática desde unidades USB y revisar cuidadosamente los permisos concedidos en Android.