Киберқауіпсіздік апталығы: USB-құрты криптоәмияндарға қарсы, Beats Studio Buds осалдығы және Android-трояндарының жаңа толқыны

Осы аптада сандық активтер иелеріне арналған киберқауіптер ландшафты бірден бірнеше қауіпті шабуыл векторларымен толықты. Өздігінен таралатын USB-құрттардан бастап күрделі Android-трояндарына дейін – зиянкестер өз тактикасын жетілдіруді жалғастыруда. Мен негізгі оқиғаларды талдап, егжей-тегжейлерімен бөлісуге дайынмын.
USB-құрт: Windows жасырын белгішелері арқылы криптовалюта ұрлаудың жаңа тәсілі
Зиянды бағдарламалық жасақтама физикалық тасымалдағыштарды өздігінен тарату үшін пайдаланатын науқан ерекше назар аударуға тұрарлық. Механизм USB-дискідегі модификацияланған белгіше файлын (.LNK) ашқан кезде іске қосылады. Белсендірілгеннен кейін құрт .onion домендік аймағындағы командалық сервермен байланысып, қосымша модульдерді жүктейді.
Негізгі ерекшелігі – зиянды бағдарлама жүйені пайдаланушы құжаттарының бар-жоғын тексереді, түпнұсқаларды жасырып, оларды зиянды белгішелермен ауыстырады. Осылайша, файлға әрбір жүгіну тізбекті реакцияны іске қосады. Жаңа USB-дискілерге өздігінен көшіру үшін сыртқы тасымалдағыштардың қосылуын бақылайтын жоспарланған тапсырма жасалады.
Стилер белсенді фазаға «Тапсырмалар диспетчері» іске қосылмаған кезде ғана өтеді. Ол жарты секунд аралығымен алмасу буферін бақылап, BIP39-сид-фразаларын және Bitcoin, Ethereum, Tron және Monero әмияндарының мекенжайларын ұстап алады. Көшірілген мекенжай анықталғанда, бағдарлама оны визуалды ұқсас таңбаларды таңдап, шабуылдаушының деректемелеріне ауыстырады. Қосымша әр он секунд сайын экранның бес суреті түсіріледі. Белсенділік ақпан айынан бастап тіркелген және жұқтырудың негізгі көрсеткіштері – мінез-құлықтық: wscript.exe күдікті белсенділігі, Curl күтпеген іске қосылуы және localhost:9050-ге қосылу.
Android-трояны Rokarolla: құрылғыны толық басып алу
Зерттеушілер арсеналында 137 қашықтан басқару командасы бар жаңа Android-трояны Rokarolla-ны анықтады. Ол TikTok және Google Chrome орнатушылары ретінде жасырынған жалған сайттар арқылы таралады. Бірінші кезең – Google Play Protect жүйелік компонентіне еліктеу, содан кейін әлеуметтік инженерия көмегімен құрбанды «Арнайы мүмкіндіктерге» қол жеткізуге мәжбүрлеу.
Рұқсат алғаннан кейін троян нақты Play Protect-ті өшіріп, мақсатты тізімдегі әрбір белсенді қолданба үшін жалған HTML авторизация беттерін жүктейді. Пайдаланушы заңды криптоәмиянды ашқанда, зиянды бағдарлама оны жалған тереземен жабады. Бөлек оверлей PIN-кодты ұрлау үшін Android құлыптау экранына еліктейді. 2FA-ны айналып өту үшін троян барлық SMS-терді оқиды және банктік антифрод жүйелерінен келетін кіріс қоңырауларды блоктай алады. Негізгі қорғаныс – «Арнайы мүмкіндіктерге» рұқсат беру кезіндегі сақтық.
Beats Studio Buds осалдығы: Bluetooth арқылы тыңдау
Apple Beats Studio Buds үшін CVE-2025-20701 осалдығын жабатын микробағдарлама жаңартуын шығарды. Bluetooth-аудио SDK-дағы дұрыс емес авторизацияға байланысты кемшілік Bluetooth диапазонындағы зиянкестерге гарнитура жұптастырылмаған және іздеу режимінде белсенді болса, пайдаланушының білімінсіз құлаққаптарға қосылуға мүмкіндік берді. Эксплойт аутентификациясыз стандартты Bluetooth немесе BLE арқылы іске қосылып, құрылғыны толық бақылауға мүмкіндік берді: тыңдаудан бастап бұрын жұптастырылған смартфондармен сенімді қарым-қатынастарды ұстап алуға дейін.
Аналитик пікірі
Ағымдағы апта алаңдатарлық үрдісті көрсетеді: зиянкестер қарапайым фишингтік шабуылдардан физикалық тасымалдағыштарды және мобильді құрылғыларды толық басып алуды пайдаланатын күрделі көп сатылы схемаларға көшуде. Tor арқылы жұмыс істейтін USB-құрт – бұл пайдаланушылардан тек цифрлық ғана емес, сонымен қатар физикалық сақтықты талап ететін қауіптердің эволюциясы. Бөгде USB-дискілерді пайдалануды шектеуді және wscript.exe және cscript.exe процестерінің белсенділігін үнемі тексеруді ұсынамын.