Специалисты «Лаборатории Касперского» зафиксировали, что с октября этого года злоумышленники рассылают вредоносные XLL-файлы сотрудникам российских компаний, маскируя их под информацию о годовых премиях и бонусах. Эти файлы, представляющие собой DLL-библиотеки, автоматически загружаются в Microsoft Excel и выполняют вредоносный код, который запускает PowerShell-скрипты для закрепления в системе через планировщика задач. Основной скрипт собирает и отправляет злоумышленникам документы, ключи, архивы и системную информацию пользователя. Для защиты рекомендуется блокировать .xll и двойные расширения на почтовом шлюзе, ограничивать FTP-трафик и обучать сотрудников распознавать фишинг.
Было раскрыто, что шпионское ПО Predator от компании Intellexa использует механизм Aladdin, который позволяет инфицировать устройство без необходимости клика на нее при просмотре вредоносной рекламы. Реклама таргетируется по IP - адресу, маскируясь под обычные баннеры на надёжных сайтах и в мобильных приложениях. Хотя подробности о том, как работает заражение, отсутствуют, Google упоминает, что реклама вызывает перенаправления на серверы доставки эксплойтов Intellexa. На данный момент Intellexa остаётся одним из самых активных поставщиков шпионского ПО и использует эксплойты нулевого дня. Для защиты рекомендуется блокировать рекламу в браузере и скрывать публичный IP.
В декабре Google выпустила обновление безопасности для Android, закрывшее 107 уязвимостей, включая две активно эксплуатируемые 0-day-уязвимости: CVE-2025-48633 и CVE-2025-48572. Первая позволяет злоумышленникам получить доступ к конфиденциальным данным, вторая — повысить привилегии в системе, затрагивая Android 13 - 16. Обе уязвимости уже использовались в реальных атаках, но их технические детали не раскрываются. Также была устранена критическая уязвимость CVE-2025-48631, которая позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, удаленно организовать отказ в обслуживании Android Framework. Обновление разделено на два этапа: первый исправляет 51 уязвимость в Android Framework и системных модулях, второй — 56 уязвимостей в ядре и закрытых компонентах. Для защиты рекомендуется устанавливать все обновления безопасности, скачивать приложения только из проверенных источников и включить автоматическое обновление системы.
В серверных компонентах React (RSC) и фреймворках (Next.js, React Router и др.) обнаружена и устранена критическая уязвимость CVE-2025-55182 (CVSS: 10), которая позволяет злоумышленникам удалённо выполнять код без аутентификации. Уязвимость связана с небезопасной десериализацией данных в протоколе Flight, а доступный на GitHub эксплойт повышает риск массовых атак. Угрозе подвержены 39% облачных инфраструктур и миллионы сайтов (включая Airbnb и Netflix) из-за уязвимых версий React 19.x и Next.js 15.x–16.x. Для защиты необходимо обновить React и Next.js, ограничить доступ к серверным компонентам, проверить логи на признаки атаки (разведка, поиск .env-файлов, веб‑шеллы) и ротировать ключи при подозрении на эксплуатацию.
Малварь Glassworm, впервые обнаруженный в октябре 2025 года, продолжает распространяться через Microsoft Visual Studio Marketplace и OpenVSX. В этот раз были обнаружены 24 зараженных расширения, которые скрывают код невидимыми символами Unicode и Rust‑имплантами. Заражение происходит через обновления легитимных расширений, после чего злоумышленники искусственно наращивают загрузки, чтобы повысить репутацию вредоносных пакетов. После установки они крадут учётные данные GitHub, npm и OpenVSX, криптовалютные кошельки и превращают компьютеры в прокси‑узлы, обеспечивая злоумышленникам удалённый доступ. Для управления атаками используются блокчейн Solana и резервные каналы, что усложняет блокировку, а Glassworm возвращается с новыми аккаунтами и техниками, обходя защиту платформ. Рекомендуется проверять источники расширений, а также отключать автоматическую установку обновлений.
