Аптаның киберқауіптері: криптовалюта ұрлауға арналған USB-құрты, Rokarolla трояны және Beats Studio Buds-тегі осалдық

Осы аптада киберқауіптер ландшафты криптоқауымдастыққа бағытталған бірқатар қауіпті жаңалықтармен толықты. Өздігінен таралатын құрттардан күрделі Android трояндарына дейін – зиянкестер техникалық осалдықтарды да, әлеуметтік инженерия әдістерін де пайдалана отырып, өз тәсілдерін жетілдіруді жалғастыруда.
USB құрты: флешкаңыздағы жасырын қауіп
Microsoft сарапшылары криптовалюта иелеріне бағытталған өздігінен көбейетін зиянкесті тарату науқанын анықтады. Жұқтыру механизмі USB-дискідегі модификацияланған таңбаша файлын (.LNK) ашқанда іске қосылады. Осыдан кейін құрт .onion домендік аймағында орналасқан командалық сервермен байланыс орнатып, жергілікті жүйені сканерлей бастайды.
Пайдаланушы құжаттарын анықтаған кезде зиянкес түпнұсқаларды жасырып, оларды бірдей атаулары бар зиянды таңбашалармен ауыстырады. Осылайша, бағдарлама жәбірленуші өзінің жұмыс файлдарын ашуға тырысқан сайын іске қосылады. Өздігінен таралу үшін құрт компьютерге қосылған кез келген жаңа USB-дискіге көшірілетін жоспарланған тапсырма жасайды.
Криптовалютаны ұрлау алмасу буферін ұстап алу арқылы жүзеге асады. Зиянкес көшірілген деректерді 12 және 24 сөзден тұратын BIP39 сид-фразаларының, сондай-ақ Bitcoin, Ethereum, Tron және Monero әмиян мекенжайларының бар-жоғын бақылайды. Мақсатты мекенжай анықталғанда, оны бірден шабуылдаушылардың деректемелеріне ауыстырады. Жәбірленушіні алдау үшін алгоритм бастапқы таңбалары түпнұсқалармен көрнекі түрде сәйкес келетін әмияндарды таңдайды.
Жұқтырудың негізгі көрсеткіші – wscript.exe және cscript.exe процестерінің қалыптан тыс фондық белсенділігі, сондай-ақ localhost:9050 (Tor стандартты порты) рұқсатсыз қосылымдары.
Rokarolla: толық бақылауы бар жаңа Android трояны
Zimperium зерттеушілері 137 қашықтан басқару командасынан тұратын Rokarolla троянын анықтады. Зиянкес TikTok және Google Chrome орнатушыларының астына жасырынған жалған сайттар арқылы таралады. Жүктеуден кейін ол Google Play Protect жүйелік компонентіне еліктеп, әлеуметтік инженерия көмегімен жәбірленушіні «Арнайы мүмкіндіктерге» қол жеткізуге мәжбүрлейді.
Рұқсат алғаннан кейін троян нақты Play Protect сканерін өшіріп, толық функционалды іске қосады. Ол PIN-кодтарды ұстап алады, SMS хабарламаларды оқиды және криптовалютаны ұрлау үшін алмасу буферін басқарады. Жеке оверлей Android стандартты құлыптау экранына еліктеп, пароль немесе графикалық кілтті ұрлауға мүмкіндік береді. Екі факторлы аутентификацияны айналып өту үшін Rokarolla бір реттік банк кодтарын ұстап алып, антифрод жүйелерінен келетін кіріс қоңырауларды блоктай алады.
Apple Beats Studio Buds-тегі қауіпті осалдықты жойды
Apple компаниясы Beats Studio Buds сымсыз құлаққаптарының микробағдарламасын жаңартып, CVE-2025-20701 осалдығын жойды. SentinelOne сарапшылары анықтаған мәселе Bluetooth әсер ету аймағындағы зиянкестерге құрылғыға қашықтан қосылып, тыңшылық үшін кірістірілген микрофонды пайдалануға мүмкіндік берді.
Олқылық Airoha чип әзірлеушісінің Bluetooth-аудио SDK-дағы дұрыс емес авторизацияға байланысты. Эксплойт стандартты Bluetooth немесе BLE протоколы арқылы ешқандай аутентификациясыз іске қосылуы мүмкін. Тыңдаудан басқа, шабуыл құрылғыны толық бақылауға, соның ішінде жадты оқу және қайта жазу, сондай-ақ бұрын жұпталған смартфондармен сенімділік қатынастарын ұстап алу мүмкіндігін берді.
Сарапшы пікірі: Бұл апта киберқылмыскерлердің жаңа шындыққа белсенді бейімделетінін тағы бір рет көрсетті. Бір кездері өткеннің қалдығы болып көрінген USB құрттары бұлтты қауіпсіздік жүйелерін айналып өту қабілетінің арқасында қайтадан өзекті болып отыр. GitHub және YouTube-тегі жалған бедел сияқты күрделі әлеуметтік инженерия әдістерін зиянкестердің қолдануы ерекше алаңдатады. Криптовалюта иелері барынша сақ болуы керек: бейтаныс USB-дискілерді қоспау, Android қосымшаларына берілетін рұқсаттарды мұқият тексеру және құлаққаптарды қоса алғанда, барлық құрылғылардың микробағдарламасын уақытылы жаңартып отыру қажет.