Аптаның криптоқауіптері: көрінбейтін USB-құрты, 137 командасы бар Android-трояны және Apple құлаққаптарындағы осалдық

Соңғы күндері цифрлық активтер иелеріне бағытталған бірқатар ауыр кибершабуылдар тіркелді. Өздігінен таралатын USB-құрттардан күрделі Android-трояндарына дейін — бұзушылардың қару-жарақ арсеналы барған сайын күрделене түсуде. Негізгі қауіптерді қарастырайық.
USB-құрт: жасырын белгішелер арқылы ұрлық
Microsoft сарапшылары криптовалюталарды ұрлауға бағытталған өздігінен көбейетін зиянкесті қолданатын науқанды анықтады. Жұқтыру процесі құрбан USB-жинақтағыштағы өзгертілген .LNK файлын ашқанда басталады. Осыдан кейін құрт .onion домендік аймағындағы серверден қосымша модульдерді жасырын орнатады.
Зиянкес пайдаланушы файлдарының астына жасырынады: ол жүйені сканерлейді, құжаттардың түпнұсқаларын жасырып, оларды зиянды белгішелермен ауыстырады. Пайдаланушы өз файлын ашуға тырысқан сайын, бағдарлама қайта іске қосылады. Таралу үшін құрт жаңа USB-дискілердің қосылуын қадағалап, оларға өзін лезде көшіретін тапсырма жасайды.
Белсенді фазада стилер әр жарты секунд сайын алмасу буферін бақылап, BIP39 сид-фразалары мен Bitcoin, Ethereum, Tron және Monero әмияндарының мекенжайларын іздейді. Тапқан кезде ол мекенжайды бұзушының деректемелеріне ауыстырады, әрі алгоритм құрбан ауыстыруды байқамауы үшін көрнекі түрде ұқсас бастапқы таңбалары бар әмияндарды таңдайды. Қосымша әр он секунд сайын хакерлерге жіберілетін бес скриншот жасалады.
Құрттың белсенділігі ақпан айынан бері тіркелуде. Жұқтырудың негізгі көрсеткіштері — мінез-құлықтық: wscript.exe және cscript.exe күдікті белсенділігі, Curl және PowerShell күтпеген іске қосылуы, сондай-ақ localhost:9050 (Tor порты) қосылымдары.
Android-троян Rokarolla: құрылғыны толық бақылау
Zimperium зерттеушілері қару-жарақ арсеналында 137 қашықтан басқару командасы бар жаңа Android-трояны Rokarolla-ны анықтады. Зиянкес TikTok және Google Chrome орнатушыларының астына жасырынатын жалған сайттар арқылы таралады.
Бірінші кезеңде құрбан Google Play Protect жүйелік компонентін имитациялайтын бағдарламаны жүктейді. Әлеуметтік инженерия көмегімен троян пайдаланушыны «Арнайы мүмкіндіктерге» қол жеткізуге мәжбүр етеді, содан кейін нақты Play Protect сканерін өшіріп, негізгі жүктемені орнатады.
Rokarolla әрбір белсенді криптоәмиян үшін жалған HTML авторизация беттерін жүктейді. Құрбан заңды қосымшаны ашқанда, троян оны жалған тереземен жауып, енгізілген барлық деректерді ұстап алады. Жеке оверлей Android құлыптау экранын имитациялап, PIN-кодты немесе графикалық кілтті ұрлауға мүмкіндік береді. Кірістірілген клиппер алмасу буферіндегі әмиян мекенжайларын ауыстырады, ал 2FA айналып өту үшін троян SMS хабарламаларды оқып, жібереді, сондай-ақ банктік антифрод жүйелерінен келетін кіріс қоңырауларды блоктай алады.
Beats Studio Buds осалдығы: Bluetooth арқылы тыңдау
Apple Beats Studio Buds үшін CVE-2025-20701 қауіпті осалдығын жабатын микробағдарлама жаңартуын шығарды. SentinelOne қаңтар айында анықтаған мәселе Bluetooth әрекет ету аймағындағы бұзушыларға құлаққаптарға қашықтан қосылып, шпионаж үшін кірістірілген микрофонды пайдалануға мүмкіндік берді.
Осалдық Airoha Bluetooth-аудио SDK-дағы дұрыс емес авторизацияға байланысты. Эксплойт әңгімелерді тыңдап қана қоймай, құлаққаптардың жедел және флэш жадын оқуға және қайта жазуға, сондай-ақ бұрын жұпталған смартфондармен сенімді қарым-қатынастарды ұстап алуға мүмкіндік береді. 1B211 нұсқасындағы микробағдарлама жаңартуы қауіпті толығымен жояды.
Сарапшы пікірі: Осы апта киберқылмыскерлердің жаңа шабуыл векторларын (Tor инфрақұрылымы бар USB-құрттар) белсенді түрде меңгеріп, ескілерін (137 командасы бар Android-трояндары) жетілдіріп жатқанын айқын көрсетеді. Тұтынушылық электроникадағы осалдық ерекше алаңдаушылық тудырады — бұл қауіпсіздік кешенді болуы керек және тек бағдарламалық жасақтаманы ғана емес, сонымен қатар «темірді» де қамтуы керек екенін еске салады. Инвесторлар өз әдеттерін қайта қарауы керек: бөтен USB-жинақтағыштарды қоспау, қосымшаларға рұқсаттарды мұқият тексеру және барлық құрылғылардың микробағдарламасын уақытылы жаңартып отыру.