В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.