研究人员发现攻击活动TA551正在针对英语目标分发IcedID银行木马。攻击手段为：通过邮件分发恶意word文档，文档包含以.cab结尾的http或https下载链接。可执行文件安装后，将会写入IcedID的安装程序，同时下载一个带有二进制编码的PNG文件，用来创建IcedID银行木马的EXE文件。EXE文件运行后，会写入另一个PNG文件。

暗影安全实验室近期监测到一款仿冒Tiktok的短信蠕虫，该短信蠕虫最明显的特点就是针对Android系统版本高于6.0以上的设备。应用首次运行检测并申请大量敏感权限，如果未能授予权限，则重复申请，直至申请敏感权限成功，进而开启恶意服务器获取通讯录联系人，并遍历联系人发送指定短信内容，短信包含该类恶意程序，程序正常进入后，则是通过大量广告谋取利益。程序虽然设置了登录界面，但是用户输入的账户密码并未上传。

国外研究人员最近发现一种名为MassLogger的新间谍软件。该高级键盘记录器和间谍软件通过MalSpam附件分发，附件为存档文件或者文档文件，存档文件提取后有.NET masslogger有效负载，而文档文件包含VBA宏和漏洞利用程序(CVE-2017-11882)，可从远程服务器下载MassLogger有效负载。该恶意软件比其他现有键盘记录器工具具有更多功能，例如应用程序数据窃取、键盘记录、Windows Defender排除、截图、通过USB传播、剪贴板窃取、VM检测等。

腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马，该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门，并会添加用户以方便入侵者远程登录该服务器。从挖矿木马的HFS服务器计数看，已有上万台MSSQL服务器被植入挖矿木马，另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险。

研究人员发现了若干带有嵌入式文件的压缩文件，这些文件伪装成来自印度政府或英国首相鲍里斯·约翰逊（Boris Johnson）关于香港的声明，同时使用模板注入来加载Cobalt Strike变体和被命名为MgBot的加载程序。MgBot通过使用Windows上的应用程序管理（AppMgmt）服务执行并注入了最终的有效负载。MgBot使用了几种抗分析和抗虚拟化技术。代码是自动修改的，可在运行时更改其代码段，以增加静态分析的难度。MgBot中捆绑的最后一段代码是一个远程管理木马，它具有以下功能： 通过TCP进行C2通信；能够截图；键盘记录；文件和目录管理；进程管理；创建MUTEX。

ESET研究发现，有4个木马化的加密货币交易应用正在分发恶意软件GMERA，主要针对Mac OS，旨在窃取加密货币钱包文件并收集用户的浏览数据。这4款假冒的应用分别是Cointrazer、Cupatrade、Licatrade和Trezarus，它们声称是加密货币交易应用Kattana的翻版，攻击者包装了原始的合法应用程序并复制了其原始网站误导用户下载。一旦用户下载这些木马应用，其就会部署名为GMERA的恶意软件，以收集受害者的浏览器信息(包括其Cookie和浏览历史记录)，访问和清空其加密货币钱包。与之前的活动一样，该恶意软件通过HTTP向C2服务器报告，并使用硬编码IP地址将远程终端会话连接到另一台C2服务器。研究人员表示，这4个应用存在微小的差异，但是功能通常是相同的。

卡巴斯基实验室最近简要分析了多起智能手机广告软件活动。Agent.pe是一种经过混淆的木马，通常隐藏在处理系统图形界面的应用程序或"设置"实用程序中，其提供了可以下载并在设备上运行任意文件的有效负载。Sivu木马是伪装成HTMLViewer应用程序的Dropper，该恶意软件包含两个模块，可以在设备上使用root权限，第一个模块在其他窗口顶部和通知中显示广告，第二个模块是一个后门，允许远程控制智能手机，它的功能包括安装、卸载和运行应用程序，可以用来秘密安装合法和恶意应用程序。AdWare.AndroidOS.Plague.f广告软件应用程序伪装成系统服务，自称为Android服务(com.android.syscore)，它可以下载并在用户背后安装应用程序，以及在通知中显示广告。Agent.pac可以模仿CIT TEST应用程序，该应用程序检查设备组件的正确操作，在C＆C的命令下，它可以运行应用程序，打开URL，下载和运行任意DEX文件，安装/卸载应用程序，显示通知并启动服务。Penguin.e特洛伊木马程序隐藏在名为STS的应用程序中，该应用程序除了显示广告外没有其他功能。除此之外，研究人员还简要分析了Necro.d、Facmod.a、Guerrilla.i、Virtualinst.c、Secretad.c等广告软件。广告软件的来源主要包括手机制造商和应用程序。除此之外，研究人员还发现了一个影响大量智能手机的问题。许多设备的内存都包含文件/bin/fotabinder (3fdd84b7136d5871afd170ab6dfde6ca)，它可以将文件下载到用户设备，并在用户设备上执行从以下远程服务器之一接收的代码：adsunflower[.]com，adfuture[.]cn，mayitek[.]com。

研究人员发现了银行木马Lampion的新变体。该恶意软件通常是通过简单的电子邮件模板分发的，受害者通常会下载包含VBS下载器的ZIP文件。新变体通过伪造的页面分发一个MSI文件，文件主题与葡萄牙政府应对COVID-19相关，在执行后会启动VBS文件。此文件负责从在线云（例如AWS，Microsoft，SAPO和最近的Google）下载两个文件，从而在计算机上保持持久性。VBS文件利用Windows rundll32库将第一个DLL注入内存，将第二个DLL加载到内存中并启动感染过程。这两个文件都使用了VM Protector打包。C2的地址以及与C2的通信方式也有变化，使用TCP套接字，不再是之前使用的HTTP。在恶意软件运行期间，它会收集键盘输入，并处于不断循环中，以识别用户正在访问的焦点窗口。有趣的是，攻击者使用了IP地址黑名单，每当客户端从这些IP地址之一执行感染时，恶意软件都会在收到来自C2的命令后终止执行，并重新启动受感染的计算机。

Avast研究人员在Google Play上发现了针对西班牙Android用户的Cerberus银行木马。其伪装成合法应用程序(称为"Calculadora de Moneda"的西班牙货币计算器)，以便访问毫无戒心的用户的银行业务详细信息。银行木马程序隐秘运行，第一阶段包括发布一个应用程序，这个应用程序具备正常功能，以获得用户的信任。该程序可以在用户不知情的情况下将另一个应用程序静默下载到设备上。更高版本的货币计算器包含"投递代码"，但最初仍未激活，即指示应用程序的命令和控制服务器(C＆C)未发出任何命令，因此用户将看不到并下载该恶意软件。激活后将下载最后阶段的银行木马应用程序，其将覆盖在现有银行应用程序上方，并等待用户登录其银行帐户。此时，恶意木马激活，并窃取所有访问数据。除此之外，还可以阅读短信和双因素身份验证详细信息。该应用已被下载了10,000次以上。

Zscaler研究人员近日发现一个恶意软件活动，该活动使用网络钓鱼站点传递AutoIt脚本，该脚本又传递CyberGate RAT和RedLine窃密程序。恶意文档是自解压存档（SFX），其中包含cabinet文件和执行嵌入式文件的脚本。AutoIt脚本使用自定义混淆功能，并且所有硬编码的字符串都已在恶意软件中加密，使用Autoit3.exe（lsass.com）运行自身，使用ping命令作为睡眠计时器，执行后还可以删除自身且带有多个沙箱规避技巧。AutoIt脚本最终的有效负载仅在内存中解密并执行，此次发现的恶意负载为CyberGate RAT和RedLine窃取程序。CyberGate木马允许攻击者浏览和操纵受害者计算机上的文件，设备和设置，以及下载并执行其他恶意软件。它还具有广泛的信息窃取能力，例如键盘记录器，屏幕捕获和远程启用网络摄像头。木马具有经过硬编码和加密的C2 IP地址，使用3970端口在TCP协议上进行通信。完整的流量通过zlib进行压缩，并使用二进制文件中写入的硬编码密钥进行RC4加密。RedLine窃密程序为.NET二进制文件，之前在俄罗斯论坛上出售，曾在以COVID为主题的电子邮件活动中出现过，功能包括：收集有关受害者系统的信息，从基于Chromium和Gecko的浏览器收集凭据，Cookie，信用卡信息，从FTP客户端（FileZilla，WinSCP）收集数据，从IM客户端（Pidgin）收集数据，收集加密货币钱包，下载并执行指定文件。