Разработчики отключили в «Проводнике» (File Explorer, ранее Windows Explorer) предварительный просмотр для файлов, скачанных из интернета. Теперь превью автоматически блокируется, чтобы предотвратить кражу учетных данных через вредоносные документы. Изменение уже вступило в силу для пользователей, установивших октябрьские обновления для Windows 11 и Windows Server. Как объясняют в компании, функция предварительного просмотра по умолчанию отключается только для файлов из сетевых папок, классифицированных Windows как внешние (зона Интернета), и файлов, имеющих отметку Mark of the Web (MotW), которая указывает, что файл был загружен через браузер, получен как вложение в письме и так далее. При попытке просмотреть такой файл панель превью покажет предупреждение: «Файл, который вы пытаетесь просмотреть, может навредить компьютеру. Если вы доверяете файлу и источнику, от которого его получили, откройте его, чтобы увидеть содержимое». Эта защитная мера призвана блокировать для потенциальных атакующих возможность эксплуатировать уязвимости, позволяющие извлечь NTLM-хеши, когда пользователи просматривают файлы с HTML-тегами (вроде , и других), ссылающимися на внешние пути на серверах злоумышленников. Такой вектор атаки не требует от пользователя практически никаких действий, кроме выбора файла для предпросмотра, и исключает необходимость обманом вынуждать жертву открывать или запускать файл в системе.
«Начиная с обновлений для Windows, выпущенных 14 октября 2025 года и позже, “Проводник” автоматически отключает функцию превью для файлов, загруженных из интернета, — сообщает Microsoft. — Это изменение призвано повысить безопасность, предотвращая использование уязвимости, которая может привести к утечке NTLM-хешей при предпросмотре потенциально небезопасных файлов».
В случае необходимости можно вручную снять блокировку для отдельного файла. Для этого понадобится кликнуть правой кнопкой мыши по файлу в «Проводнике», выбрать «Свойства» и нажать кнопку «Разблокировать» внизу вкладки «Общие». Также блокировку можно отключить для всей сетевой папки сразу, добавив ее адрес в доверенные зоны через «Свойства обозревателя» (Internet Options) в панели управления Windows (вкладка «Безопасность»).

Источник: https://xakep.ru/2025/10/24/file-explore-preview/

Аналитики «Доктор Веб» обнаружили бэкдор Baohuo (Android.Backdoor.Baohuo.1.origin), скрывающийся в модифицированных версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные и учетные данные пользователя, а также историю переписки, малварь обладает рядом уникальных особенностей. Например, умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, вредонос может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, скрывая эти действия. Фактически с помощью Baohuo злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Отмечается, что операторы малвари управляют ею в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам специалистов общее число зараженных Baohuo устройств превышает 58 000. Распространение вредоноса началось в середине 2024 года, о чем свидетельствуют обнаруженные при анализе более ранние модификации. Основным способом доставки бэкдора является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка вредоносного APK. Обычно такие сайты оформлены в стиле магазина приложений, а сам Telegram X позиционируется как площадка для удобного поиска партнера для общения и свиданий. В настоящее время операторы малвари используют шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. То есть основной целью атакующих являются жители Бразилии и Индонезии. Однако исследователи подчеркивают, что нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран. Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В ходе анализа исследователи наблюдали порядка 20 000 активных подключений Baohuo. Отмечается, что заражению подверглись около 3000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android. Однако Baohuo распространяется не только через вредоносные сайты. Также специалисты обнаружили бэкдор в сторонних магазинах приложений для Android (например, APKPure, ApkSum и AndroidP). При этом в APKPure вредонос размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Исследователи пишут, что уведомили все онлайн-площадки, где были найдены вредоносные версии Telegram X.
Эксперты «Доктор Веб» выявили несколько разновидностей малвари, которые были разделены на три основные группы модификаций Telegram X:
версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.
Независимо от типа модификации Baohuo инициализируется при запуске самого мессенджера, а сам Telegram X остается работоспособным и для пользователей выглядит как обычная программа.
Когда операторам малвари нужно выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X. Если же действие не является стандартным, используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена. Основное отличие ранних версий малвари от актуальных заключается в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через управляющий сервер. Но со временем авторы малвари добавили в Baohuo возможность отправки дополнительных команд через базу данных Redis, расширив функциональность и обеспечив себя двумя независимыми каналами управления. При этом предусмотрено дублирование новых команд и через обычный управляющий сервер на случай, если база окажется недоступной. В отчете подчеркивается, что это первый известный случай применения Redis для управления вредоносным ПО для Android. Во время запуска Baohuo соединяется с начальным управляющим сервером для загрузки конфигурации, которая также содержит данные для подключения к Redis. Через эту БД злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего управляющего сервера, а также NPS-сервера. Последний используется для подключения зараженных устройств к внутренней сети хакеров и превращения их в прокси для выхода в интернет.
Baohuo периодически связывается с управляющим сервером через API-вызовы и может получать следующие задания:
загрузить на сервер входящие SMS и контакты из телефонной книги зараженного устройства;
отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
получить от сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
запросить у сервера ссылку для скачивания обновления Telegram X;
запросить у сервера конфигурацию, которая сохраняется в виде JSON-файла;
запросить информацию о базе данных Redis;
загрузить на сервер информацию об устройстве при каждой сетевой активности мессенджера;
получить с сервера список ботов, которые затем добавляются в список контактов Telegram;
каждые три минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.
Для получения команд через Redis вредонос подключается к соответствующему серверу, где регистрирует свой подканал — к нему в дальнейшем подключаются хакеры. Они публикуют в нем задания, которые бэкдор исполняет. Команды в этом случае отличаются:
создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
отправить на сервер информацию обо всех установленных приложениях;
сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
загрузить на сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
подписать пользователя на заданный Telegram-канал;
покинуть заданный Telegram-канал;
вступить от лица пользователя в Telegram-чат по указанной ссылке;
получить список устройств, на которых выполнена авторизация в Telegram;
запросить получение токена аутентификации пользователя и передать его на сервер.
Исследователи подчеркивают, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или seed-фразу для криптокошелька, текст важного документа для отправки бизнес-партнерам по почте и так далее, а Baohuo перехватит данные в буфере и передаст своим операторам.

Источник: https://xakep.ru/2025/10/24/baohuo/

В заброшенной библиотеке async-tar и ее форках (включая tokio-tar) обнаружили опасную уязвимость, получившую название TARmageddon, которая позволяет удаленно выполнить произвольный код. Проблема получила идентификатор CVE-2025-62518 и представляет собой логическую ошибку, вызванную десинхронизацией, которая дает неаутентифицированным атакующим возможность внедрять дополнительные записи в архив во время распаковки TAR-файлов. Уязвимость проявляется при обработке вложенных TAR-архивов с несовпадающими заголовками ustar и PAX extended. Из-за бага парсер перескакивает в содержимое файла, принимает его за tar-заголовки и распаковывает файлы, подготовленные злоумышленником. Специалисты компании Edera, обнаружившие уязвимость, объясняют, что атакующие могут эксплуатировать проблему для перезаписи файлов во время атак на цепочки поставок — подменять конфигурационные файлы и перехватывать контроль над системами сборки. Основная опасность CVE-2025-62518 связана с тем, что уязвимость затрагивает не только проекты, использующие саму async-tar, но и tokio-tar — популярнейший форк, насчитывающий более 7 млн скачиваний на crates.io, который тоже заброшен разработчиками. Хотя активные форки уже получили патчи, исследователи Edera предупреждают, что точно оценить масштаб проблемы невозможно из-за крайне широкого распространения прочих форков, включая tokio-tar.
«Из-за повсеместного использования tokio-tar в разных формах невозможно заранее точно оценить радиус поражения этого бага в экосистеме, — говорят в Edera. — Хотя поддерживаемые форки успешно пропатчены, этот случай подчеркивает серьезную системную проблему: чрезвычайно популярный tokio-tar остается неисправленным».
Так, проблема TARmageddon затрагивает множество популярных проектов, включая Binstalk, менеджер Python-пакетов uv от Astral, платформу wasmCloud, liboxen и опенсорсную библиотеку testcontainers. Команда Edera сообщает, что связаться с разработчиками async-tar и tokio-tar оказалось крайне трудно, поскольку «ни у одного из проектов нет SECURITY.md или публичного способа связи». Специалистам пришлось прибегнуть к социальной инженерии и подключить к расследованию сообщество, чтобы найти нужных людей. В результате async-tar и astral-tokio-tar получили патчи, а популярнейший tokio-tar — нет. Также разработчики некоторых зависимых проектов, с которыми связывались специалисты Edera, сообщили, что планируют удалить уязвимую зависимость или перейти на исправленный форк. Однако другие не ответили вовсе, и множество проектов могут использовать уязвимую библиотеку, даже не подозревая о проблеме. В Edera советуют всем либо обновиться до пропатченной версии, либо немедленно удалить уязвимую зависимость от tokio-tar, который выглядит заброшенным. Исследователи рекомендуют перейти, например, на активно поддерживаемый форк astral-tokio-tar (является форком edera-dev/tokio-tar, который, в свою очередь, является форком vorot93/tokio-tar, который, в свою очередь, является форком dignifiedquire/async-tar, основанного на alexcrichton/tar-rs). При этом собственный форк Edera (krata-tokio-tar) будет заархивирован, чтобы не создавать дополнительную путаницу в экосистеме.

Источник: https://xakep.ru/2025/10/23/tarmageddon/

Федеральный суд обязал израильскую компанию NSO Group (разработчика коммерческого­ шпионского Pegasus) прекратить использование спайвари для таргетирования и атак на пользователей WhatsApp**. Напомним, что Pegasus представляет собой шпионскую платформу, разработанную NSO Group. «Пегас» продается как легальная спайварь и используется для шпионажа и наблюдения по всему миру. Так, Pegasus (а через него и клиенты NSO Group) спо­собен собирать с устрой­ств на базе iOS и Android тек­сто­вые сооб­щения, информа­цию о при­ложе­ниях, под­слу­шивать вызовы, отсле­живать мес­тополо­жение, похищать пароли и так далее. Несколько лет назад мы посвятили Pegasus и NSO Group отдельную статью, после того как внимание общественности оказалось привлечено к работе этой коммерческой спайвари и связанными с ней злоупотреблениями. Еще в 2019 году представители WhatsApp подали в суд на NSO Group и обвинили компанию в пособничестве кибератакам, которые осуществлялись в интересах различных правительств в 20 странах мира, включая Мексику, ОАЭ и Бахрейн. Иск требовал денежной компенсации и судебного запрета на подобные практики. Эта тяжба длится по сей день. К примеру, в конце 2024 года достоянием общественности стали неотредактированные судебные документы. Согласно этим бумагам, примерно до апреля 2018 года NSO Group использовала для атак кастомный клиент WhatsApp (WhatsApp Installation Server или WIS) и эксплоит собственной разработки под названием Heaven. Он мог выдавать себя за официальный клиент мессенджера и использовался для установки Pegasus на устройства жертв со стороннего сервера, находящегося под контролем NSO. После того как разработчики WhatsApp обнаружили проблему и заблокировали NSO Group доступ к зараженным устройствам и серверам с помощью патчей, выпущенных в сентябре и декабре 2018 года, эксплоит Heaven перестал работать. Затем, в феврале 2019 года, NSO Group создала новый эксплоит — Eden, чтобы обойти новые защитные меры WhatsApp. В мае 2019 года представители WhatsApp выяснили, что Eden использовался клиентами NSO Group для атак примерно на 1400 пользовательских устройств, многие из которых принадлежали адвокатам, журналистам, правозащитникам, политическим диссидентам, дипломатам и высокопоставленным иностранным чиновникам. На прошлой неделе судья Филлис Дж. Гамильтон (Phyllis J. Hamilton) окружного суда США Северного округа Калифорнии удовлетворила запрос на постоянный судебный запрет, который владелец WhatsApp (компания Meta*) подала против NSO Group еще в 2019 году. Решение суда обязывает NSO Group навсегда прекратить таргетирование пользователей WhatsApp, попытки заражения их устройств или перехвата сообщений WhatsApp, которые защищены сквозным шифрованием с использованием опенсорсного протокола Signal. Также Гамильтон постановила, что NSO Group обязана удалить все данные, полученные ранее при таргетировании пользователей WhatsApp. Ранее представители NSO Group утверждали, что такое решение «вынудит компанию закрыться», поскольку Pegasus — это ее флагманский продукт. Однако Гамильтон решила, что вред, причиняемый Pegasus компании Meta, перевешивает подобные соображения.
«По мнению суда, любой бизнес, работающий с персональной информацией пользователей и вкладывающий ресурсы в шифрование этой информации, страдает от несанкционированного доступа к ней — и это не просто репутационный ущерб, это бизнес-ущерб, — заявила Гамильтон. — По сути, такие компании, как WhatsApp продают, в том числе, информационную приватность, а и любой несанкционированный доступ подрывает эти продажи. Действия ответчиков сводят на нет одну из ключевых целей сервиса истцов, что составляет прямой ущерб».
При этом судья отклонила запрос Meta о том, чтобы судебный запрет распространялся на иностранные правительства, которые могут использовать WhatsApp. Она отметила, что суверенные государства не являются сторонами в судебном процессе. Кроме того, было отклонено требование Meta распространить запрет на таргетирование пользователей других продуктов Meta (таких как Facebook** и Instagram**), на том основании, что не было представлено доказательств их таргетирования.
«Сегодняшнее решение запрещает разработчику шпионского ПО NSO Group когда-либо снова таргетировать WhatsApp и наших пользователей по всему миру, — комментирует глава WhatsApp Уилл Каткарт (Will Cathcart). — Мы приветствуем это решение, которое появилось после шести лет судебных разбирательств, чтобы привлечь NSO Group к ответственности за атаки на представителей гражданского общества. Оно создает важный прецедент: есть серьезные последствия для атак на американскую компанию». Также Гамильтон сократила штрафные санкции, наложенные присяжными на NSO Group в мае 2025 года. Тогда решение, вынесенное жюри присяжных, обязывало NSO Group выплатить WhatsApp штраф в размере 167 млн долларов США, однако теперь он был сокращен до 4 млн долларов США. Судья отметила, что критерии, на основании которых присяжные ранее определяли сумму штрафа, были неверными. Представители NSO Group сообщили СМИ, что компания приветствует решение суда сократить штрафные санкции на 97%, «по сравнению с чрезмерной суммой», которую первоначально определили присяжные.

Источник: https://xakep.ru/2025/10/23/nso-whatsapp/

Исследователи из «Лаборатории Касперского» изучили новую волну заражений PassiveNeuron, которая длилась с декабря 2024 года до августа 2025 года. Атаки затронули правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Отличительная черта кампании — нацеленность преимущественно на операционные системы Windows Server. В частности, в одном из случаев злоумышленники смогли удаленно выполнять команды на скомпрометированном сервере через Microsoft SQL. Впервые кампания PassiveNeuron была обнаружена в июне 2024 года. После полугодового затишья злоумышленники возобновили свою деятельность в декабре 2024 года. На этот раз они использовали для получения и поддержания доступа к целевым сетям три основных инструмента: фреймворк Cobalt Strike и два ранее неизвестных — бэкдор Neursite и имплант NeuralExecutor. Neursite представляет собой модульный бэкдор, который способен собирать системную информацию, управлять запущенными процессами и направлять сетевой трафик через скомпрометированные хосты, обеспечивая перемещение по сети. Были обнаружены образцы, обменивающиеся данными как с внешними управляющими серверами, так и со скомпрометированными внутренними системами. В свою очередь NeuralExecutor — это кастомизированный .NET‑имплант, который поддерживает несколько методов связи и может загружать и выполнять сборки .NET, полученные с контрольно-управляющего сервера. В результате изучения новой кампании эксперты смогли определить порядок первоначального заражения и сделать предположения об атрибуции этих атак. Так, в наблюдаемых образцах имена функций были заменены строками, содержащими кириллические символы, которые, по всей видимости, были введены злоумышленниками намеренно.
Такие артефакты требуют тщательной оценки при атрибуции. Атакующие могут использовать их, чтобы вводить исследователей в заблуждение. Исходя из анализа тактик, техник и процедур кампании PassiveNeuron, на данный момент исследователи приписывают активность китайскоязычной группе, хотя и с низкой степенью уверенности.
«В новой кампании PassiveNeuron злоумышленники фокусируются на компрометации серверов, которые часто составляют основу корпоративных сетей. Такие цели, особенно доступные из интернета, представляют интерес для групп, проводящих сложные целевые кибератаки, ведь один взломанный хост может обеспечить доступ к критическим системам. Крайне важно минимизировать возможную поверхность атаки и постоянно контролировать серверные приложения для обнаружения и предотвращения потенциальных заражений», — комментирует Георгий Кучерин, эксперт Kaspersky GReAT.

Источник: https://xakep.ru/2025/10/22/passiveneuron/