Criptoamenazas de la semana: Gusano USB autodestructor, nuevo troyano para Android y vulnerabilidad en Beats Studio Buds
Un análisis de los eventos clave en ciberseguridad de los últimos siete días revela que los atacantes continúan evolucionando, utilizando métodos cada vez más sofisticados para robar activos digitales. Desde gusanos USB autorreplicantes hasta reputaciones falsas en GitHub, el arsenal de los hackers se expande a una velocidad alarmante.
Gusano USB con función de autorreplicación: una nueva amenaza para los propietarios de criptomonedas
Especialistas de Microsoft identificaron una campaña maliciosa dirigida a usuarios de criptomonedas. La herramienta clave del ataque es un gusano autorreplicante que se propaga a través de unidades USB. El mecanismo de infección se activa al abrir un acceso directo modificado (.LNK) en un dispositivo extraíble. Después de esto, el gusano establece conexión con un servidor de comando en la zona de dominio .onion y comienza a actuar de forma oculta.
El malware escanea el sistema en busca de archivos de usuario, oculta los originales y los reemplaza con accesos directos maliciosos. Cada vez que la víctima intenta abrir su documento, el virus se reactiva. Para propagarse, el gusano crea una tarea que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas. El ladrón solo entra en fase activa cuando el "Administrador de tareas" no está en ejecución. Monitorea el portapapeles, interceptando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero, reemplazándolas con los datos de los atacantes. Además, cada diez segundos se toman capturas de pantalla. La actividad de este gusano se ha registrado desde febrero, y el principal indicador de infección es una actividad sospechosa en segundo plano de los procesos wscript.exe y cscript.exe.
Nuevo troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium descubrieron el troyano Rokarolla, equipado con un arsenal de 137 comandos remotos. El malware se hace pasar por instaladores de aplicaciones populares como TikTok y Google Chrome. Después de la descarga, imita el componente del sistema Google Play Protect y, mediante ingeniería social, obliga al usuario a otorgar acceso a "Accesibilidad". Una vez obtenido el permiso, el troyano desactiva el escáner real de Play Protect y despliega la carga principal.
Rokarolla descarga páginas HTML falsas de inicio de sesión para billeteras de criptomonedas e intercepta los datos ingresados. Una superposición separada imita la pantalla de bloqueo de Android, permitiendo robar el PIN o el patrón de desbloqueo. Un clipper integrado reemplaza las direcciones de billetera en el portapapeles. Para eludir la autenticación de dos factores (2FA), el troyano lee y envía SMS, y también bloquea las llamadas entrantes de los sistemas antifraude de los bancos.
Vulnerabilidad en Beats Studio Buds: espionaje a través de Bluetooth
Apple lanzó una actualización de firmware para Beats Studio Buds (versión 1B211), que corrige la vulnerabilidad crítica CVE-2025-20701. El problema, descubierto por expertos de SentinelOne, permitía a los atacantes dentro del alcance de Bluetooth conectarse de forma remota a los auriculares sin el consentimiento del propietario, utilizando el micrófono integrado para escuchar. El ataque es posible si los auriculares no están emparejados y se encuentran en modo de búsqueda. El exploit también permite a los hackers leer y sobrescribir la memoria RAM y flash de los auriculares, así como interceptar las relaciones de confianza con teléfonos inteligentes previamente emparejados.
Opinión del experto: Esta semana muestra una tendencia alarmante: los atacantes combinan activamente vectores de ataque físicos y digitales, desde dispositivos USB hasta conexiones Bluetooth. Se debe prestar especial atención a los troyanos de Android, que se vuelven cada vez más autónomos y multifuncionales. Recomiendo encarecidamente a los propietarios de criptomonedas que actualicen regularmente el firmware de todos los dispositivos, incluidos los periféricos, y que tengan cuidado con cualquier solicitud de permisos extendidos en aplicaciones móviles.