A kiberbűnözők egyre gyakrabban alkalmazzák a ClickFix néven ismert social engineering támadási módszert, amelynek során a felhasználókat teljes képernyős böngészőablakban megjelenő, valósághűnek tűnő, ám valójában hamis Windows Update animációval tévesztik meg. A rosszindulatú kódot a támadók képfájlokba ágyazzák, a kártevő pedig a felhasználó közreműködésével (a Windows Parancssorba bemásolt parancsok végrehajtásával) kerül a rendszerbe.

Világszerte több mint 77 000 IP-cím bizonyult sebezhetőnek a kritikus, React2Shell (CVE-2025-55182) távoli kódfuttatást lehetővé tévő sérülékenységgel szemben. A kiberbiztonsági kutatók megerősítették, hogy a támadók már több mint 30 szervezetet sikeresen kompromittáltak.

Új szintre léptek a ClickFix típusú támadások, mivel ma már olyan videós útmutatókat is tartalmaznak, amelyek lépésről lépésre végigvezetik az áldozatot a fertőzés folyamatán. Emellett a támadók időzítőt alkalmaznak annak érdekében, hogy nyomást gyakoroljanak a felhasználókra, és automatikusan felismerik az operációs rendszert, hogy a megfelelő parancsokat kínálhassák fel.

A Zscaler felhőbiztonsági cég jelentése alapján 2024 június és 2025 május között több száz rosszindulatú Android-alkalmazást töltöttek le a Google Play-ről, összesen több mint 40 millió alkalommal. Ugyanebben az időszakban a vállalat 67%-os éves növekedést figyelt meg a mobileszközöket célzó kártevők számában, a kémprogramok és a banki trójaiak különösen jelentős kockázatot jelentettek.

Az új ClamAV 1.5.1 verzió elsősorban teljesítményjavításokat és hibajavításokat hoz a korábbi 1.5.0-hoz képest, különös tekintettel a PE (Windows futtatható fájl) és ZIP archívumok vizsgálatára. Kis kodek- és metaadat-kezelési ügyek is javultak, emellett a verzió nem igényel új Rust fordítókörnyezetet, így az átállás viszonylag egyszerű. A ClamAV projekt célja, hogy nyílt forráskódú védelmi eszközként folyamatos fejlesztésekkel reagáljon a felmerülő fenyegetésekre. Az alábbiakban részletesen is bemutatjuk, mi változott, és milyen hatással lehet ez a gyakorlatra.

A támadók RMM eszközöket – mint például ITarian (korábban Comodo), PDQ Connect, SimpleHelp és Atera – használnak, hogy tartósan távoli hozzáférést szerezzenek a kompromittált rendszerekhez. A felhasznált rosszindulatú telepítőprogramokat legitim böngészőfrissítéseknek, meeting- vagy partimeghívóknak, esetleg kormányzati űrlapoknak álcázták, kihasználva a felhasználók általánosan gyakorolt IT-adminisztrációs szoftverek iránti bizalmát.

Szeptember közepén egy komplex, önreplikáló ellátólánc támadást – a kutatók által Shai-Hulud néven említett kampányt – dokumentálták az npm csomagtárban. A rosszindulatú kampány által fertőzött csomagok telepítéskor átvizsgálják a fejlesztői és CI környezeteket érzékeny adatok után, például tokenek, kulcsok és jelszavak után kutatva, majd a begyűjtött információkat a támadók által irányított szerverekre vagy GitHub tárhelyekre továbbítják.