Шкідлива кампанія ClickFix маскується під оновлення Windows та заражає системи інфostealer-пакетами
Нещодавно фахівцями з кібербезпеки було виявлено нову кампанію, під час якої на зламаних вебсайтах з’являється підроблений екран «Оновлення Windows». Він повністю повторює вигляд справжнього системного процесу та блокує перегляд сторінки. Після цього користувачу пропонується натиснути Win+R і виконати команду, нібито для продовження оновлення. Насправді введення команди запускає встановлення шкідливого ПЗ, зокрема відомих інфostealer-зразків LummaC2 та Rhadamanthys.
Особливу небезпеку становить те, що шкідливий код прихований у пікселях PNG-зображення, що значно ускладнює його виявлення звичайними засобами захисту. У результаті зловмисники можуть отримати доступ до конфіденційних даних, облікових записів та інших чутливих відомостей.
Рекомендації для користувачів:
● не виконуйте команди, запропоновані у браузері під виглядом оновлення системи;● перевіряйте системні оновлення лише через офіційні налаштування Windows;● використовуйте оновлений антивірус та регулярно скануйте систему;● уникайте переходів на підозрілі вебресурси та ненадійні рекламні посилання.
Джерело

CISA фіксує використання XSS-вразливості у ScadaBR: хакери отримують контроль над системою
Фахівці з кібербезпеки зафіксували експлуатацію вразливості CVE-2021-26829 у системі OpenPLC ScadaBR, після чого CISA включила її до каталогу KEV (Known Exploited Vulnerabilities). Уразливість типу XSS у файлі system_settings.shtm дає змогу виконувати сторонній код у браузері та змінювати елементи інтерфейсу без додаткової авторизації.
Під час зафіксованого інциденту хактивістська група TwoNet отримала доступ до honeypot-системи, що імітувала об’єкт водопостачання, увійшла за допомогою стандартних облікових даних та, скориставшись вразливістю, змінила вміст сторінки автентифікації, а також вимкнула журнали подій і сповіщення. Цей випадок підтверджує, що навіть вразливості середнього рівня у SCADA-рішеннях можуть створювати суттєві ризики для технологічних середовищ.
Рекомендації для користувачів:
● не ігноруйте оновлення програм та операційної системи – вони закривають подібні вразливості;● використовуйте унікальні та складні паролі для всіх сервісів, не залишайте стандартні комбінації;● використовуйте двофакторну автентифікацію скрізь, де це можливо;● уникайте переходів за підозрілими посиланнями та не передавайте свої дані на невідомих або підозрілих ресурсах;● перевіряйте, чи справді сайт або сервіс належить легітимній організації, перш ніж взаємодіяти з ним.
Джерело

Китайські хакери використовують новий бекдор BRICKSTORM для прихованого доступу до систем
Агентство кібербезпеки США (CISA) повідомило, що хакери, пов’язані з КНР, застосовують новий бекдор BRICKSTORM для отримання та утримання довготривалого прихованого контролю над ураженими Windows- і VMware-системами.
BRICKSTORM забезпечує зловмисникам повноцінний командний доступ для керування ураженими пристроями: перегляд, копіювання, створення та видалення файлів, завантаження й вивантаження даних, а також можливість налаштовувати проксі-канали для подальшого переміщення в мережі.
З’єднання бекдору можуть маскуватися під звичайний трафік — через HTTPS, WebSockets, TLS або DNS-over-HTTPS. Крім того, BRICKSTORM може працювати як SOCKS-проксі (спеціальний проксі-канал для прихованого трафіку), що ускладнює виявлення та дає змогу зловмисникам розширювати свою присутність у мережі.
CISA не розкриває кількість постраждалих організацій, але зазначає, що бекдор виявлено на VMware vCenter та інших елементах інфраструктури малого та середнього бізнесу, ІТ-компаній, а також юридичних і технологічних фірм у США. Цей інцидент свідчить про щораз більші можливості державних хакерських груп, які прагнуть зберігати доступ до систем непоміченим протягом тривалого часу.
Чому це небезпечно?
Тривалий прихований доступ дає зловмисникам можливість викрадати конфіденційні дані, облікові записи, ключі доступу, документи та стежити за внутрішніми бізнес-процесами. Такі інструменти створюють ризик шпигунства, саботажу та масштабних порушень у роботі компаній.
Рекомендації для користувачів:
● регулярно оновлюйте Windows- та VMware-системи;
обмежуйте публічний доступ до адміністративних інтерфейсів (RDP, VPN, вебконсолі);● використовуйте багатофакторну аутентифікацію для всіх важливих облікових записів;● перевіряйте журнали подій та мережеву активність на наявність незвичних процесів чи з’єднань;● проводьте періодичні аудити безпеки та сканування на наявність бекдорів.
Джерело

Критична вразливість React2Shell дозволяє зловмисникам захоплювати сервери
CISA офіційно додала в свій каталог відомих експлуатованих вразливостей (KEV) вразливість CVE-2025-55182 — відому як React2Shell. У бібліотеках React Server Components (RSC) допущено критичну помилку, яка дозволяє невідомому зловмиснику без автентифікації виконувати довільний код на сервері, просто відправивши спеціально сформований HTTP-запит.
Суть проблеми полягає в безпечності механізму «deserialization» — коли сервер розбирає вхідні дані. Через помилкову обробку даних у протоколі «Flight», React інтерпретує шкідливий запит як легітимний, і може виконати на сервері довільні команди. Така уразливість не потребує жодного спеціального налаштування з боку розробника — будь-який стандартний проєкт, що використовує RSC або суміжні фреймворки (наприклад, Next.js, Vite, Parcel, React Router тощо), може бути уразливим.
Це становить серйозну загрозу безпеці — після публікації вразливості вже зафіксовано реальні спроби її експлуатації, зокрема з боку груп, пов’язаних із державами, що призводили до встановлення майнерів, викрадення конфігурацій AWS та інших подальших атак.
Рекомендації для користувачів:
● оновлюйте програми та сервіси, якими користуєтесь, щойно виходять нові версії;● уникайте використання застарілих застосунків, які більше не отримують оновлень безпеки;● слідкуйте за офіційними повідомленнями сервісів, якими користуєтесь, зокрема щодо оновлень або усунення вразливостей.
Джерело

Шкідливе ПЗ CastleLoader використовують чотири різні групи атак
Дослідники з кібербезпеки встановили, що шкідливе ПЗ CastleLoader активно застосовують чотири різні групи кіберзлочинців.
Вони використовують спільну інфраструктуру для проведення атак, зокрема через фішингові листи, підроблені сторінки оновлень програм і маніпулятивні рекламні посилання. CastleLoader працює як завантажувач: після запуску він завантажує інші шкідливі програми, як-от інструменти для крадіжки даних та програми, що дають зловмисникам віддалений доступ до пристрою. Особливо вразливими стають користувачі логістичних сервісів, а також ті, хто потрапляє на фейкові сторінки, схожі на Booking, або шукає оновлення програм і може випадково завантажити шкідливий файл.
Масштабність і різні сценарії використання роблять цю загрозу особливо небезпечною, оскільки зловмисники можуть викрадати дані або отримувати повний контроль над пристроями користувачів.
Рекомендації для користувачів: 
● не відкривайте підозрілі листи та посилання, навіть якщо вони виглядають знайомими;● завантажуйте оновлення й програми лише з офіційних сайтів;
використовуйте сучасний антивірус і завантажуйте всі системні оновлення;● уникайте введення будь-яких даних на сумнівних сторінках, особливо якщо вони містять нетипові CAPTCHA чи спливаючі сповіщення;● регулярно створюйте резервні копії важливих файлів.
Джерело

Google Chrome атакують через вразливість, яку вже використовують зловмисники
Компанія Google 10 грудня 2025 року випустила термінове оновлення безпеки для Chrome, щоб закрити ще одну серйозну вразливість «zero-day», яку вже активно використовують зловмисники. Це вже восьма така критична вразливість, виправлена в цьому році. 
Проблема пов’язана з бібліотекою ANGLE, яку використовує Chrome для обробки запитів графіки, зокрема перетворення викликів OpenGL ES в інші графічні API. Уразливість, ймовірно, пов’язана з переповненням буфера в компоненті Metal, що може призвести до пошкодження пам’яті, аварій браузера або виконання шкідливого коду.
Оновлення вже почали розгортати для користувачів Windows (143.0.7499.109), macOS (143.0.7499.110) і Linux (143.0.7499.109). Воно містить три виправлення безпеки, одне з яких має високий рівень серйозності.
Google підтвердив, що вразливість з внутрішнім ідентифікатором відстеження 466192044 активно використовується, але деталі він тимчасово не розкриває. Це потрібно, щоб уникнути швидкого використання проблеми іншими зловмисниками до того, як більшість користувачів встановить патч. Google також не повідомляє про ідентифікатор CVE для цієї вразливості та не розкриває, хто її виявив та коли саме.
Google рекомендує негайно оновити браузер до останньої версії та перезапустити його після встановлення.
Джерело

CISA додає до каталогу відомих активно експлуатованих вразливостей критичну помилку в роутерах Sierra Wireless
Агентство кібербезпеки США (CISA) додало до свого каталогу Known Exploited Vulnerabilities (KEV) вразливість високого рівня критичності в маршрутизаторах Sierra Wireless AirLink, після підтвердження фактів активної експлуатації цієї вразливості кіберзловмисниками в реальних атаках.
Вразливість, відома як CVE-2018-4063, дозволяє через спеціально сформований HTTP-запит завантажувати шкідливі файли на пристрій та запускати їх як код, оскільки механізм завантаження файлів не обмежує тип і не перевіряє їх на безпеку, а відповідний сервіс виконується з найвищим рівнем привілеїв доступу.
Це означає, що зловмисник, отримавши автентифікаційні дані, може завантажити файл із виконуваним кодом і взяти під контроль роутер, що може призвести до порушення роботи мережі та подальшого несанкціонованого доступу до внутрішньої інфраструктури.
Вразливість була вперше виявлена та оприлюднена у 2018–2019 роках, однак через зафіксовану останнім часом активність кіберзловмисників CISA класифікувало її як актуальну загрозу. Основний ризик полягає у можливості використання скомпрометованих маршрутизаторів для створення ботнетів, прихованого майнінгу криптовалют або перехоплення мережевого трафіку, що суттєво підвищує рівень загроз для організацій, які продовжують експлуатувати застаріле обладнання.
Рекомендації для користувачів:
● встановити всі доступні оновлення прошивки або замінити пристрої, які більше не підтримуються виробником;● обмежити доступ до інтерфейсів керування обладнанням та використовувати складні унікальні паролі;● вимкнути віддалений доступ, якщо він не є критично необхідним;
регулярно перевіряти мережу на ознаки підозрілої або нетипової активності.
Джерело

Виявлено шкідливі розширення Firefox, що приховано відстежували користувачів
Нова кампанія під назвою GhostPoster використовує прихований шкідливий код у зображеннях логотипів 17 розширень браузера Mozilla Firefox, щоб виконувати небезпечні дії без відома користувачів. Розширення були завантажені в сумі понад 50 000 разів і маскувалися під VPN-сервіси, інструменти для знімків екрана, блокувальники реклами та перекладачі. 
Після встановлення ці розширення не одразу активують шкідливий код, а через кілька днів підвантажують додатковий шкідливий модуль зі сторонніх серверів. Цей код може відстежувати активність у браузері, перехоплювати партнерські посилання з метою перенаправлення трафіку та незаконного отримання комісійної винагороди, впроваджувати додаткове відстеження на відвідуваних сторінках, видаляти захисні заголовки безпеки та вбудовувати приховані елементи для здійснення рекламного шахрайства.
Такі дії серйозно підривають конфіденційність та безпеку користувачів браузера, оскільки дозволяють зловмисникам контролювати частину активності в інтернеті та отримувати вигоду за рахунок жертв. 
Розширення вже видалено з магазину доповнень, але ті, хто їх встановив раніше, все ще можуть бути під загрозою.
Джерело

Атака до завантаження ОС: уразливість UEFI загрожує даним користувачів
Дослідники з кібербезпеки виявили серйозну уразливість у прошивці UEFI на материнських платах ASRock, ASUS, GIGABYTE та MSI. Вона дозволяє зловмисникам із фізичним доступом до комп’ютера здійснювати прямий доступ до оперативної пам’яті (DMA – Direct Memory Access) ще до завантаження операційної системи.
Проблема полягає в тому, що на ранньому етапі завантаження захист пам’яті налаштований некоректно. У результаті пристрій із підтримкою DMA може читати або змінювати дані в оперативній пам’яті та впливати на початковий стан системи ще до активації стандартних механізмів безпеки ОС.
Це створює серйозні ризики, оскільки зловмисник може здійснити несанкціоноване втручання в системний код або отримати доступ до чутливої інформації, що значно підвищує ймовірність компрометації пристрою та даних користувача.
Рекомендації для користувачів:
● перевірте наявність оновлень прошивки від виробника для вашої моделі материнської плати та встановіть їх;● регулярно оновлюйте всі компоненти системи, включно з BIOS/UEFI, щоб мати актуальні виправлення безпеки;● у разі корпоративного використання зверніться до ІТ-відділу щодо оцінки ризиків і впровадження додаткових заходів безпеки.
Джерело

CISA попереджає про активну експлуатацію критичної вразливості у відеореєстраторах Digiever
Агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало критичну вразливість у мережевих відеореєстраторах Digiever DS-2105 Pro до свого каталогу відомих активно експлуатованих вразливостей після підтверджених кейсів атак у реальному світі.
Ця вразливість (CVE-2023-52163; оцінка 8,8) дозволяє зловмисникам, що вже мають доступ до пристрою, виконувати довільні команди й віддалено запускати шкідливий код через спеціально сформовані запити. Проблема у відсутності авторизації при обробці запитів до інтерфейсу time_tzsetup.cgi робить прилади легкою мішенню.
Це особливо небезпечно, бо пристрої досягли статусу end-of-life і вже не отримують патчів безпеки, а зловмисники використовують цю слабкість для розгортання ботнетів типу Mirai і ShadowV2, що може підірвати приватність відеоспостереження, викликати масштабні DDoS-атаки й стати точкою входу у внутрішні мережі.
Джерело