На перший погляд, це звичайний “стілер”, однак його можливості значно ширші. Malware поширюється через заражені USB-накопичувачі, використовуючи файли ярликів .lnk, які можуть містити виконуваний код. Після підключення такого носія до комп’ютера шкідлива програма перевіряє, чи вже встановлена вона в системі, і якщо ні — завантажує себе через приховані канали.

Як працює Crypto Clipper

Головна мета вірусу — криптовалютні дані користувачів. Він непомітно аналізує вміст буфера обміну (clipboard), шукаючи:

• адреси криптогаманців
• seed-фрази (12 або 24 слова)

Як тільки такі дані виявляються, вірус миттєво перехоплює їх і передає на сервери зловмисників. Крім того, Crypto Clipper робить серію зі п’яти скріншотів за 10 секунд, щоб отримати додатковий контекст дій користувача.

Прихованість через Tor

Особливу небезпеку становить спосіб маскування трафіку. Шкідник використовує:

• мережу Tor для анонімної передачі даних
• локальний SOCKS5-проксі для маршрутизації запитів

Це дозволяє приховати як джерело, так і кінцеву точку передачі даних, ускладнюючи відстеження атакуючих.

Microsoft зазначає, що Crypto Clipper не потребує класичної інфраструктури керування (C2-серверів), що робить його особливо “легким”, але водночас ефективним.

Додаткові можливості атаки

Окрім крадіжки даних, вірус здатний:

• замінювати криптоадреси в буфері обміну на адреси атакуючих
• перенаправляти платежі на чужі гаманці
• виконувати віддалені команди на зараженому пристрої

Фактично це перетворює Crypto Clipper на повноцінний бекдор із фінансовою мотивацією.

Як розпізнати зараження

Microsoft Defender уже класифікує компоненти загрози як шкідливі процеси. Серед ознак зараження:

• підозрілі скрипти та дочірні процеси
• використання локального проксі localhost:9050
• команди для знімків екрана через PowerShell
• аналіз буфера обміну
• підміна криптовалютних адрес

Crypto Clipper показує новий рівень еволюції шкідливого ПЗ: воно стає легшим, прихованішим і водночас значно небезпечнішим. Поєднання USB-розповсюдження, криптокрадіжок і анонімних мереж робить такі атаки особливо складними для виявлення. Експерти наголошують: навіть один підключений невідомий USB-накопичувач сьогодні може стати точкою входу для повноцінної кібератаки.

Найчутливіший рівень системи

BootROM (або SecureROM) — це перший код, який запускається в iPhone одразу після ввімкнення. Він записаний безпосередньо в апаратну частину чипа під час виробництва, а це означає ключову проблему: такі вразливості неможливо виправити звичайним оновленням iOS.

Фактично, якщо пристрій підпадає під таку вразливість, він залишатиметься потенційно вразливим протягом усього життєвого циклу.

Нове покоління після легендарного checkm8

Подібний випадок востаннє фіксувався у 2019 році з експлойтом checkm8, який вплинув на пристрої від iPhone 4S до iPhone X. Новий “usbliter8” продовжує цю лінію атак, але вже для більш сучасного покоління — зокрема iPhone XS та iPhone 11.

Як працює атака

Експлойт базується на помилці в USB-контролері, вбудованому в чипи Apple. Під час запуску пристрій приймає USB-дані та зберігає їх у буфері пам’яті.

Дослідники з Paradigm Shift виявили, що спеціально сформована послідовність дуже малих пакетів даних дозволяє маніпулювати внутрішнім вказівником пам’яті. У результаті він «рухається назад» і починає записувати дані в області, які за нормальних умов недоступні.

За їхніми словами, йдеться не про програмну помилку, а про апаратну особливість самого USB-контролера.

Чому не всі чипи вразливі

Не всі покоління процесорів Apple мають цю проблему:

• A11 (iPhone X) не вразливий, оскільки драйвер USB скидає вказівник після кожного пакета
• A14 та новіші чипи захищені завдяки правильно реалізованим механізмам захисту пам’яті
• A12 і A13 опинилися в «перехідній зоні» — між старою та новою архітектурою без достатнього захисту

Рівень доступу та обмеження

На пристроях з A12 отримання контролю над кодом відбувається відносно просто. У випадку A13 ситуація складніша: Apple впровадила технологію Pointer Authentication Codes (PAC), яка ускладнює підміну вказівників пам’яті.

За словами дослідників, обхід PAC вимагав багатоетапного процесу, перш ніж вдалося отримати повний контроль над процесором.

Що дозволяє експлойт

Після успішного запуску “usbliter8” встановлює власний обробник, який зберігається навіть після перезавантаження пристрою. Серед можливостей:

• тимчасове зниження рівня безпеки пристрою
• запуск непідписаного програмного забезпечення без перевірки
• модифікація системних параметрів під час старту

Також дослідники традиційно додають рядок “PWND” у USB-серійний номер пристрою — своєрідний знак компрометації, який використовується ще з часів checkm8.

Що це означає для безпеки

Хоча експлойт не напряму зламує Secure Enclave, BootROM-рівень доступу відкриває потенційні можливості для подальших атак на захищені компоненти системи.

У Paradigm Shift зазначають, що повідомили Apple про проблему до публікації та працювали з компанією в межах відповідального розкриття вразливості. Повний proof-of-concept код уже опубліковано разом із дослідженням на сайті ps.tc, що робить цю знахідку не лише теоретичною, а й практично підтвердженою.

Розслідування проводили Національна поліція Нідерландів спільно з Національним центром кібербезпеки (NCSC). У ході роботи слідчі виявили близько 200 серверів, які забезпечували функціонування ботнету. Всі вони були розміщені в дата-центрах на території країни.

Як вдалося вийти на слід мережі

Історія розпочалася після того, як один із фахівців з кібербезпеки повідомив владу про підозрілу активність, пов’язану з великою мережею проксі-серверів. Після аналізу інфраструктури експерти встановили зв’язок між окремими серверами та організували масштабне розслідування.

Згодом правоохоронці отримали докази того, що ця система використовувалася для незаконної діяльності. Частину серверів було вилучено, а хостинг-провайдери відключили інші елементи інфраструктури після офіційних запитів від влади.

Мільйони заражених пристроїв

За даними слідства, до ботнету входили щонайменше 17 мільйонів скомпрометованих пристроїв. Серед них були:

• персональні комп’ютери;
• смартфони;
• планшети;
• домашні маршрутизатори;
• пристрої систем «розумного дому»;
• інше обладнання, підключене до Інтернету.

Власники цих пристроїв часто навіть не підозрювали, що їхня техніка перебуває під контролем кіберзлочинців.

Для чого використовували ботнет

Слідчі встановили, що злочинці використовували мережу для різноманітних кібератак. Зокрема, ботнет допомагав організовувати фішингові кампанії, масові розсилки спаму та DDoS-атаки, які перевантажують сервери й можуть виводити онлайн-сервіси з ладу.

Крім того, заражені пристрої використовувалися як проміжні вузли для приховування справжнього місцезнаходження та особи зловмисників під час проведення атак.

За інформацією нідерландського видання NL Times, інфраструктура може бути пов’язана з російським сервісом ASOCKS, який спеціалізується на наданні так званих резидентних проксі.

Чому резидентні проксі викликають занепокоєння

Резидентні проксі дозволяють спрямовувати інтернет-трафік через пристрої звичайних користувачів. З одного боку, такі сервіси можуть використовуватися для законних цілей, наприклад тестування вебресурсів. Однак вони дедалі частіше потрапляють у поле зору правоохоронців через використання в кіберзлочинних схемах.

Головна проблема полягає в тому, що шкідливий трафік виглядає як звичайна активність реальних користувачів. Через це системам захисту набагато складніше виявляти атаки та блокувати їх.

Фахівці зазначають, що подібні мережі часто застосовуються для запуску фішингових сайтів, збору інформації з вебресурсів та управління інфраструктурою для масштабних кібератак.

Чому проблема лише зростає

У Національному центрі кібербезпеки наголошують, що поширення пристроїв Інтернету речей створює нові можливості для кіберзлочинців. Багато роутерів, камер спостереження, розумних колонок та інших гаджетів мають недостатній рівень захисту або роками не отримують оновлень.

Саме такі пристрої часто стають легкою здобиччю для шкідливого програмного забезпечення, після чого непомітно для власника приєднуються до ботнетів.

Експерти рекомендують регулярно встановлювати оновлення програмного забезпечення, змінювати стандартні паролі, використовувати двофакторну автентифікацію та періодично перевіряти список пристроїв, підключених до домашньої мережі.

Розслідування триває

Попри успішне знешкодження інфраструктури, правоохоронці поки не назвали підозрюваних у створенні та управлінні ботнетом. Розслідування триває, а фахівці продовжують аналізувати вилучені сервери та цифрові докази. Ця операція стала черговим нагадуванням про те, наскільки вразливими можуть бути сучасні підключені до Інтернету пристрої та як важливо дбати про їхню безпеку.

Про це розповіла команда DarkNavy, як доказ було опубліковано відео з демонстрацією успішного отримання root. Йдеться про версії на Exynos 2600 – Galaxy S26 Ultra в цю категорію не потрапляє, оскільки використовує SoC Qualcomm Snapdragon 8 Elite Gen5 for Galaxy.

Це перший відомий випадок root-доступу для Exynos-версій Galaxy S26 після того, як Samsung у One UI 8 прибрала можливість розблокування завантажувача. Зазначається, що вразливість вдалося задіяти за допомогою звичайної програми, а потім запустити Magisk. При цьому деталі вразливості поки що не розкриваються: невідомі її принцип, версія прошивки тощо.

Втім, перші результати розслідувань показують: ситуація може бути не такою однозначною. Є підстави вважати, що йдеться не про масову атаку нового шкідливого ПЗ, а про наслідки інциденту з цифровими сертифікатами.

Сліди ведуть до DigiCert — одного з найбільших центрів сертифікації у світі. За інформацією з системи відстеження помилок Bugzilla, зловмисник отримав обмежений доступ до внутрішніх інструментів компанії, зламавши комп’ютер одного зі співробітників служби підтримки. Це дозволило йому отримати спеціальні коди ініціалізації для створення сертифікатів підпису коду.

Такі сертифікати — критично важливий елемент сучасної безпеки. Вони підтверджують, що програмне забезпечення є «довіреним» і не було змінене. Але якщо сертифікат потрапляє до рук зловмисників, ситуація різко змінюється: шкідливі програми можуть маскуватися під легітимні.

Саме це і сталося. Використовуючи скомпрометовані сертифікати, хакери підписували шкідливе ПЗ, зокрема сімейство крадіїв даних Zhong Stealer. У результаті антивірусні системи почали реагувати на такі файли як на потенційно небезпечні.

У відповідь DigiCert відкликала 60 сертифікатів, частина з яких прямо пов’язана з діяльністю зловмисників, а інші — заблоковані «про всяк випадок». Проблема в тому, що навіть після відкликання такі інциденти можуть спричиняти хвилю помилкових спрацювань.

Саме тому багато попереджень про Cerdigent можуть бути хибними. У базі загроз Microsoft цей об’єкт описаний доволі загально — як потенційна загроза, здатна виконувати різні дії за командою зловмисника. Але конкретних доказів масового зараження наразі немає.

Ситуація добре показує слабке місце сучасної кібербезпеки: коли під загрозою опиняється сама система довіри, навіть легітимні інструменти можуть працювати некоректно. Межа між «безпечним» і «небезпечним» програмним забезпеченням тимчасово розмивається.

Якщо ви бачите подібні попередження, не варто панікувати. Найкраща стратегія — стежити за оновленнями від розробників антивірусів. У випадках масових помилкових спрацювань такі проблеми зазвичай виправляються досить швидко через оновлення баз сигнатур.

Поки що історія з Cerdigent виглядає більше як технічний збій і наслідок інциденту з сертифікатами, ніж як нова масштабна кібератака. Але вона ще раз нагадує: навіть найнадійніші системи безпеки не є абсолютно захищеними.