Крипто әлеміндегі жаңалықтар

20.06.2026
08:21

Аптаның криптоқауіптері: өздігінен таралатын USB-құрты, Android-троян Rokarolla және Beats Studio Buds-тегі ақау

security_new1

Осы аптада криптоқауымдастық үшін киберқауіптер ландшафты бірден бірнеше қауіпті шабуыл векторларымен толықты. Нағыз биологиялық вирус сияқты әрекет ететін аты шыққан USB-құртынан бастап, смартфон қорғанысын толығымен істен шығара алатын күрделі Android-троянына дейін. Негізгі оқиғаларды қарастырайық.

USB-құрт: өздігінен таралатын стилерлердің жаңа дәуірі

Microsoft сарапшылары ашқан науқан ерекше назар аударуға тұрарлық. Бұл USB-жинақтағыштар арқылы таралатын, Windows жасырын таңбашаларын пайдаланатын зиянкес туралы. Жұқтыру механизмі қорқынышты дәрежеде талғампаз: құрбан флешкадағы өзгертілген .LNK-файлды ашады, содан кейін құрт .onion домендік аймағындағы командалық сервермен байланысып, негізгі пайдалы жүктемені жүктейді.

Зиянкес деректерді ұрлап қана қоймайды — ол пайдаланушы құжаттарының астына жасырынып, түпнұсқаларды жасырып, оларды өз көшірмелерімен алмастырады. Құрбан жұмыс файлын ашуға тырысқан сайын, вирус қайта іске қосылады. Таралу үшін құрт Windows жоспарлаушысында жаңа USB-дискілердің қосылуын қадағалап, оларға өзін лезде көшіретін тапсырма жасайды.

Оның басты мақсаты — криптоәмияндар. Зиянкес әр жарты секунд сайын алмасу буферін бақылап, BIP39 сид-фразаларын (12 және 24 сөз) және Bitcoin, Ethereum, Tron және Monero әмияндарының мекенжайларын іздейді. Тапқан кезде ол мекенжайды шабуылдаушының деректемелеріне ауыстырады. Сонымен қатар, алгоритм бастапқы таңбалары түпнұсқамен көзбен сәйкес келетін әмияндарды таңдайды, осылайша құрбан ауыстыруды байқамайды. Оған қоса, әр он секунд сайын вирус экранның бес скриншотын жасап, оларды хакерлерге жібереді.

Құрттың белсенділігі кем дегенде ақпан айынан бері тіркелуде. Жұқтырудың негізгі көрсеткіштері — wscript.exe және cscript.exe процестерінің күдікті белсенділігі, Curl, PowerShell және cmd.exe бағдарламаларының күтпеген іске қосылуы, сондай-ақ localhost:9050 (Tor стандартты порты) қосылымдары.

Android-троян Rokarolla: құрылғыны толық басып алу

Zimperium зерттеушілері криптовалюталарды ұрлауға арналған нағыз швейцариялық пышақ болып табылатын жаңа Android-троян Rokarolla-ны анықтады. Оның арсеналында PIN-кодтарды ұстап алуға, SMS хабарламаларды оқуға және жіберуге, алмасу буферін басқаруға және ОЖ кірістірілген қорғаныс механизмдерін өшіруге мүмкіндік беретін 137 қашықтан басқару пәрмені бар.

Зиянкес TikTok және Google Chrome сияқты танымал қолданбалардың орнатушыларының астына жасырынады. Бірінші кезеңде ол Google Play Protect жүйелік компонентіне еліктеп, әлеуметтік инженерия арқылы пайдаланушыны «Арнайы мүмкіндіктерге» рұқсат беруге мәжбүрлейді. Дәл осы қадам тізбекті реакцияны іске қосады: троян нақты Play Protect-ті өшіреді, криптоәмияндар үшін жалған HTML авторизация беттерін жүктейді және енгізілген барлық деректерді ұстап алады.

Android құлыптау экранына еліктеу функциясы әсіресе қауіпті. Бұл троянға PIN-кодты немесе графикалық кілтті ұрлауға мүмкіндік береді, операторларға құрылғыны құлыпталған күйде де толық басқаруға мүмкіндік береді. 2FA-ны айналып өту үшін зиянкес барлық SMS хабарламаларды оқиды және бір реттік банк кодтарын ұстап алып, хабарламаларды өздігінен жібере алады. Сонымен қатар, кіріс қоңырауларды бұғаттау арқылы ол банктердің антифрод жүйелеріне құрбанды ескертуге жол бермейді.

Криптоклипперлер және жалған бедел

GitHub, YouTube және SourceForge-те беделді манипуляциялау арқылы криптоклипперлерді тарату науқаны ерекше атап өтуге тұрарлық. Шабуылдаушылар жалған аккаунттарды пайдаланып, лайктарды, пікірлерді және жүктеулерді жасанды түрде көбейту үшін тұтас «бедел экономикасын» құрды. SourceForge-те жүктеу санауышы Android-құрылғылар фермасының көмегімен жасанды түрде 44 000-ға дейін көтерілді. Бұл тренд өте қауіпті: сәтті сыналған кросс-платформалық жасанды көбейту схемасы ransomware және күрделірек инфостилерлерді жаппай тарату үшін қолданылуы мүмкін.

Beats Studio Buds-тегі олқылық: Bluetooth арқылы тыңдау

Apple Beats Studio Buds үшін CVE-2025-20701 осалдығын жабатын микробағдарлама жаңартуын шығарды. SentinelOne сарапшылары анықтаған олқылық шабуылдаушыларға Bluetooth әрекет ету аймағында пайдаланушының білімінсіз құлаққаптарға қосылуға және тыңшылық үшін кірістірілген микрофонды пайдалануға мүмкіндік берді. Мәселе Airoha-ның Bluetooth-аудио SDK-сындағы дұрыс емес авторизацияда болды. Тыңдаудан басқа, шабуыл құрылғыны толық бақылауға, соның ішінде бұрын жұптастырылған смартфондармен сенімділік қатынастарын ұстап алу мүмкіндігін берді.

Менің талдауым: Ағымдағы апта шабуылдардың күрделенуіне және олардың мультивекторлығына айқын үрдісті көрсетеді. USB-құрт және Android-троян — бұл жай стилерлер емес, құрбанның мінез-құлқына бейімделе алатын қашықтан басқаруға арналған толыққанды платформалар. Барлық криптовалюта пайдаланушыларына құлаққаптардың микробағдарламасын дереу жаңартуды, USB-тасығыштардан автоіске қосуды өшіруді және мобильді қолданбаларға, әсіресе «Арнайы мүмкіндіктерге» қол жеткізуге берілген рұқсаттарды сыни тұрғыдан қайта қарауды ұсынамын.