Március 21-én a szlovén rendőrség 12 házkutatást tartott, és ezekben 5 embert vett őrizetbe egy kiterjedt akció keretében, amelyet bizonyos kisebb vállalkozások ellen elkövetett internetes csalások miatt 2012 közepén indított nyomozás keretében hajtottak végre. A SI-CERT (a szlovén nemzeti Computer Emergency Response Team) tavaly nyáron kapott először bejelentéseket arról a káros szoftver fertőzésről, amely az áldozatok rendszerén tárolt felhasználó neveket és jelszavakat lopta el, valamint olyan komponenseket telepített, amely illetéktelenül távoli hozzáférést tett lehetővé a támadók számára. A káros szoftver célzott támadás útján, a vállalkozások vezetőinek küldött email-ekben kerültek az áldozatok rendszereire. A levelek látszólag bankoktól (egy esetben pedig az adóhatóságtól) érkeztek, és késedelmes fizetésre hívták fel a figyelmet.

Néhány nappal ezelőtt az Avast! víruskereső cég szakembereinek figyelmét felhívták a javascrpt.ru weboldalra. Egy rövid vizsgálódás után kiderítették, hogy az oldal az ajax.google.com-ot és a jquery-t próbálja utánozni, de a kérdéses kód egy obfuszkált és tömörített redirector. Miután a szakértők eltávolítottak két rétegnyi obfuszkációt, olyan ellenőrző kódot találtak, amely a látogató user agent-jét (gyakorlatilag a látogató böngészőjének típusát) állapította meg. Az információkból nyilvánvalóvá vált, hogy a mobil eszközökre kell koncentrálniuk. A támadás a következőképp zajlik: a felhasználó mobil eszközön olyan valódi weboldalt látogat meg, amelyet feltörtek, és a javascrpt.ru oldalra mutató hivatkozást helyeztek el rajta. Itt egy script segítségével megállapítják a böngésző típusát, és annak megfelelően továbbirányítják az áldozatot egy olyan másik feltört weboldalra, amely az adott böngészőben lévő sérülékenységet kihasználó káros szoftver tartalmaz.

Az Egyesült Államok kormánya által fenntartott sérülékenységi katalógust ideiglenesen le kellett állítani - ironikus módon egy szoftver sérülékenység miatt. Az amerikai szabványügyi intézet (National Institute of Standards and Technology) National Vulnerability Database (NVD) nyilvános weboldala péntek óta nem elérhető, mivel káros szoftver fertőzést fedeztek fel két webszerveren is. A szervezet egy Google+ bejegyzésben hozta nyilvánosságra az eddig megismert információkat, amely szerint március 8-án a NIST tűzfala gyanús tevékenység miatt riasztást küldött, és a leállított szervereken talált kártevő programok megvizsgálásával kiderítették, hogy egy szoftver sérülékenység segítségével tudták megtámadni a rendszereket.

Az Ausztrál Nemzeti Bank (Reserve Bank of Australia) elismerte, hogy a számítógépes hálózatukat egy olyan káros szoftver segítségével törték fel, amelyet kínai programozók készítettek, és amelynek célja a bizalmas információk gyűjtése. A bank közleménye egyértelműen Kínát teszi felelőssé a támadásért, és azt állítják, hogy a lezajlott nyomozás szerint számos számítógépük fertőződött meg. A jelentés szerint a káros szoftver a G20-as tárgyalásokkal kapcsolatos információkat próbált meg begyűjteni, amelynek központi témája a devizatartalékok kérdése és Peking árfolyampolitikája volt.

A Google Play első születésnapján egy olyan botkit bukkant fel az Android-os alkalmazásokat terjesztő weboldalon, amely korábbi fejlesztők ellenőrzött felhasználói fiókjai segítségével terjed. Brian Krebs az ismert KrebsonSecurity blog szerzője mutatta be elsőként az esetet, miután egy underground weboldaon olyan felhasználóval futott össze, aki 100 dollárt fizetett az ellenőrzött Google Play fiókokért. Az illető a felvásárlás mellet egy Android SMS káros szoftver csomagot árul, amelynek segítségével tetszőleges bank ügyfelét célba lehet venni, mivel ellopja a két faktoros hitelesítésben használt, SMS-ben érkező, egyszer használatos kódot. A Perkele (finn szó, magyarul ördögöt jelent) egy számítógépes káros szoftverrel működik együtt, amely arra próbálja rávenni az áldozatot, hogy a telefonjára egy speciális biztonsági tanúsítványt telepítsen.

A SophosLabs kutató számára a ransomware-ek mindennapos látványnak számítanak. Számos különböző verzióval találkoznak mindennap, de várható volt, hogy fel fognak bukkanni olyan trükkök, amelyek felhívják magukra a figyelmet. A SophosLabs egyik ügyfelétől olyan mintát kapott, amely egyből az érdeklődés középpontjába került, mivel a Windows PowerShell-t használja arra, hogy fájl titkosítást hajtson végre. A PowerShell a Microsoft által tervezett script nyelv, amelynek célja, hogy segítse a rendszergazdák Windows-os hálózatokat érintő munkáját a feladatok automatizálásával. A most felfedezett ransomware ezt a PowerShell-t arra használja, hogy a "Rijndael symmetric key encryption" segítségével titkosítsa a fájlokat, miközben orosz nyelvű üzenetet jelenít meg a felhasználó számára.

Amióta az Apple bemutatta az első iPhone okostelefont, azóta játszik macska-egér játékot a hacker-ekkel, akik nem "hivatalos" szoftvereket akarnak telepíteni a készülékre. A játék hamarosan véget érhet, köszönhetően a robbanásszerűen terjedő, államilag szponzorált káros szoftvereknek. A világcég és a hacker-ek közt zajló verseny a következőképpen nézett ki: a hacker-ek kifejlesztettek egy szoftvert, amely segítségével sikerült "jailbreak"-elni a telefont, az Apple pedig egy szoftverfrissítéssel becsukta ezt a kiskaput. A jelek arra mutatnak, hogy hamarosan vége lesz ennek, mivel ezek a törések mind az úgynevezett 0-day sérülékenységeket használják ki. Ezek a 0-day-ek nagyon értékesek azok számára, akik kifinomult káros szoftvereket fejlesztenek kémkedés és távoli hozzáférések céljára. A feketepiacokat jól ismerők szerint az iOS 0-day sérülékenységek elég értékesek ahhoz, hogy inkább eladják azokat, minthogy újabb jailbreak módszert dolgozzanak ki.

A Seculert biztonsági cég kutatói két újabb nagyon veszélyes káros szoftvert fedeztek fel, amelyeket a feltételezések szerint kínai hacker-ek készítették, mivel pontosan ugyan oda vissza lehetett követni a származásukat, ahonnan a Project Aurora támadások is indultak. "A módszer ugyanaz, mint a korábbi támadásokban - speciálisan szerkesztett, káros kódot tartalmazó PDF állományokat küldenek egy spear-phishing kampány keretében", mondta Aviv Raff a Seculert vezetője. "A kód visszafejtése után egyértelműen kijelenthetjük, hogy ugyanarról a helyszínről, Kínából jött a támadás".

Úgy látszik, hogy a Java egy pillanatnyi pihenőt sem kaphat. Alig pár nappal azután, hogy javításra került egy 0-day sérülékenység, két újabb exploit-ot fedeztek fel. A Kaspersky által talált káros kód megpróbálja telepíteni a távoli hozzáférést lehetővé tevő McRAT trójai programot úgy, hogy felülírja a JVM által használt memóriát, ez pedig kiváltja a káros kód lefutását. A Windows rendszert támadó McRAT egy C&C szerverhoz próbál csatlakozni, és saját magát az operációs rendszer dll állományai közé másolja. A másik káros szoftver egy Minecraft jelszó lopó, amit az Intego fedezett fel. Az exploit "Minecraft Hack Kit" néven terjed, és úgy állítja be magát, mint egy olyan eszköz, amelynek segítségével a Minecraft felhasználók egyszerűbben oldhatnak meg bizonyos feladatokat.

A Bitdefender vírusirtó cég kutatói egy korábban ismeretlen káros szoftverben a miniDuke egy korai verzióját ismerték fel, amely a jelek szerint már legalább 2012 májusa óta aktív volt - és akkor arra volt kíváncsi, hogy mennyi a pillanatnyi idő Kínában. A körülbelül 20 kB méretű minta a fejléce szerint 2012 május 21-én lett lefordítva. A néhány nappal ezelőtt kiadott jelentések mind megemlítették, hogy nagyon friss kártevőről van szó, mivel az elemzett minták 2013 február 13-án készültek. A korábbi minták 2012 május 26-án vették fel a Bitdefender adatbázisába. Ezek alapján a malware tavaly májusban, de talán még ennél is korábban készült. A régi minta másfajta módszert használ a fertőzésre - egy futtatható állományba ágyazott dll fájlként terjedt. A dll fájl ugyanazzal lett tömörítve, mint a mostani minták, és a kód is nagyon hasonló. Az exe fájl telepíti a dll-t a tempfile.dat nevű állományba, majd a rundll32.exe segítségével betölti a memóriába.