Új szintre léptek a ClickFix típusú támadások, mivel ma már olyan videós útmutatókat is tartalmaznak, amelyek lépésről lépésre végigvezetik az áldozatot a fertőzés folyamatán. Emellett a támadók időzítőt alkalmaznak annak érdekében, hogy nyomást gyakoroljanak a felhasználókra, és automatikusan felismerik az operációs rendszert, hogy a megfelelő parancsokat kínálhassák fel.

A Zscaler felhőbiztonsági cég jelentése alapján 2024 június és 2025 május között több száz rosszindulatú Android-alkalmazást töltöttek le a Google Play-ről, összesen több mint 40 millió alkalommal. Ugyanebben az időszakban a vállalat 67%-os éves növekedést figyelt meg a mobileszközöket célzó kártevők számában, a kémprogramok és a banki trójaiak különösen jelentős kockázatot jelentettek.

Az új ClamAV 1.5.1 verzió elsősorban teljesítményjavításokat és hibajavításokat hoz a korábbi 1.5.0-hoz képest, különös tekintettel a PE (Windows futtatható fájl) és ZIP archívumok vizsgálatára. Kis kodek- és metaadat-kezelési ügyek is javultak, emellett a verzió nem igényel új Rust fordítókörnyezetet, így az átállás viszonylag egyszerű. A ClamAV projekt célja, hogy nyílt forráskódú védelmi eszközként folyamatos fejlesztésekkel reagáljon a felmerülő fenyegetésekre. Az alábbiakban részletesen is bemutatjuk, mi változott, és milyen hatással lehet ez a gyakorlatra.

A támadók RMM eszközöket – mint például ITarian (korábban Comodo), PDQ Connect, SimpleHelp és Atera – használnak, hogy tartósan távoli hozzáférést szerezzenek a kompromittált rendszerekhez. A felhasznált rosszindulatú telepítőprogramokat legitim böngészőfrissítéseknek, meeting- vagy partimeghívóknak, esetleg kormányzati űrlapoknak álcázták, kihasználva a felhasználók általánosan gyakorolt IT-adminisztrációs szoftverek iránti bizalmát.

Szeptember közepén egy komplex, önreplikáló ellátólánc támadást – a kutatók által Shai-Hulud néven említett kampányt – dokumentálták az npm csomagtárban. A rosszindulatú kampány által fertőzött csomagok telepítéskor átvizsgálják a fejlesztői és CI környezeteket érzékeny adatok után, például tokenek, kulcsok és jelszavak után kutatva, majd a begyűjtött információkat a támadók által irányított szerverekre vagy GitHub tárhelyekre továbbítják.

A ClamAV fejlesztői elérhetővé tették a 1.5-ös verzió kiadásra jelölt változatát (release candidate), amely bepillantást enged abba, milyen újításokkal érkezik majd a közkedvelt nyílt forráskódú vírusirtó motor következő főverziója. Az egyik legfontosabb újdonság a FIPS-kompatibilis módszer bevezetése a CVD és CDIFF aláírási adatbázisfájlok hitelesítésére. Bár a funkció már a kiadásra jelölt változatban is elérhető, a fejlesztők egyelőre nem teszik közzé a fő adatbázisokhoz tartozó „.cvd.sign” fájlokat. Ez azt jelenti, hogy szigorú FIPS-módban futó rendszereken a Freshclam frissítések továbbra is hibába ütköznek. A tesztelők számára azonban már most rendelkezésre állnak próbakulcsok és tanúsítványok, amelyekkel kipróbálható az új aláírási és hitelesítési folyamat.

A Guardio Labs legfrissebb jelentése szerint a ClickFix névre keresztelt social engineering technika új szintre emelte az online fenyegetések hatékonyságát. Az elmúlt év során ez a támadási forma olyan gyorsan terjedt, hogy gyakorlatilag kiszorította a korábban elterjedt, hamis böngészőfrissítésekre épülő ClearFake csalásokat.