最近外汇交易公司Travelex 遭遇勒索软件攻击，攻击者利用Pulse Secure VPN安全漏洞进行攻击。研究人员发现，该公司有7个未打补丁的Pulse Secure服务器。Pulse Secure VPN是一款流行的企业远程访问产品，该VPN公司于2019年4月发布了漏洞(CVE-2019-11510、CVE-2019-11508、CVE-2019-11540、CVE-2019-11543、CVE-2019-11541、CVE-2019-11542、CVE-2019-11539、CVE-2019-11538、CVE-2019-11509、CVE-2019-11507)的补丁通知。这些漏洞允许攻击者绕过身份验证，以及在Pulse Connect Secure网关上进行远程任意文件访问和远程代码执行。2020年1月3日，Bad Packets进行了第19轮漏洞扫描，发现全球有将近3826台(中国存在123台)Pulse Secure VPN服务器仍然容易受到攻击。

最近，国外研究人员发现BasBanke(也称为Coybot)安卓银行木马再次活跃，目标是从巴西实体窃取银行凭据。该木马于2018年10月巴西大选时开始恶意活动，最近重新出现并使用了新样本。目前尚不清楚木马的感染媒介，但根据以往版本经验，可能是通过虚假的Facebook帖子和WhatsApp消息传播。其伪装成安卓或Google Play的假更新，要求用户提供登录权限，并在后台运行服务以接收用户在图形界面上执行操作时的通知。恶意软件使用Base64或者AES算法加密隐藏文本字符串。除此之外，还发现该木马发送感染设备信息时的HTTP请求方式和Windows木马"Pazera"的方式一致。尽管"Pazera"木马针对拉丁美洲，但BasBanke作者也可能是"Pazera"的开发者。

研究人员在Google Play商店中发现了三个恶意应用程序，它们是Camero，FileCrypt Mange和callCam，可协同工作以破坏受害者的设备并收集用户信息。 首先，Camero和FileCrypt Manger应用程序，充当下载器。从C2服务器下载一个DEX文件，下载的DEX文件将下载APK文件，并在利用设备或使用辅助功能后安装该文件。 所有这些都是在没有用户意识或干预的情况下完成的，攻击者使用了混淆，数据加密和调用动态代码等手段来隐藏。其中，Camero根据下载的DEX从C2服务器检索特定的漏洞利用：CVE-2019-2215和MediaTek-SU来获得root特权。FileCrypt Manger用来获取辅助功能权限。其次，第二阶段为安装和启动callCam应用程序。启动后，应用程序callCam会在设备上隐藏其图标，收集特定信息包括微信，Outlook，Twitter，Yahoo Mail，Facebook，Gmail和Chrome的数据，并在后台将其发送回C2服务器。 这些应用所使用的C2服务器被怀疑是SideWinder基础架构的一部分。 此外，在其中一台服务器上也找到了链接到应用程序之一的Google Play页面URL。

Bitdefender安全研究人员从2019年5月起，跟踪了一个加密采矿僵尸网络LiquorBot，该僵尸网络主要攻击未打补丁的路由器，可利用少量关键漏洞(CVE-2015-2051, CVE-2016-1555, CVE-2016-6277) ，并针对多个CPU体系结构。LiquorBot用Go（也称为Golang）编写，与传统的C风格代码相比，它具有一些编程优势，例如内存安全性，垃圾回收，结构化类型，甚至是CSP风格的并发。 LiquorBot似乎与Mirai相关变种共享C2服务器，甚至在dropper脚本中也体现出相同特征，这意味着攻击者在各种活动中可同时使用LiquorBot和Mirai变种。 研究者将其主要特征总结为：重新实现用Go语言编写的Mirai；交叉编译为几种架构（ARM，ARM64，x86，x64，MIPS）；整合了加密货币挖矿功能；通过SSH暴力破解进行传播并利用某些路由器模型中的未修补漏洞。

Cofense发现一起网络钓鱼活动，该活动仿冒俄独立国家联合体(CIS)一个合法的组织门户网站，内容为提供卢布补偿，附件为恶意的PDF文档，该文档包含指向钓鱼网站的链接。钓鱼页面要求访问者提供银行卡号和Voila(加密货币令牌)，然后系统会提示访问者支付随机产生的费用，然后再获得补偿，为了增加真实感，该站点每30s至60s就会生成弹窗以通知访问者已经获得补偿。在该活动中，所有已知的域名都拥有有效证书，注册时间在2019年11月19日至12月1日之间，同时域开放目录下包含可访问的网络钓鱼工具包FKG.zip。该活动钓鱼邮件绕过了微软的EOP安全电子邮件网关，并且成功欺骗了一家知名金融机构。

国外研究人员最近发现恶意软件Predator The Thief版本更新。恶意软件通过伪装成发票的网络钓鱼文档传播，打开文档后AutoOpen宏将运行恶意软件VBA脚本，然后通过PowerShell下载恶意负载。新版本Predator The Thief主要增加反调试技巧，并且删除了主例程中的大多数垃圾代码，使汇编代码更短但更复杂。同时，恶意软件窃取到的信息采用zip无文件方式存储，恶意软件会分配一个内存空间来定位整个zip文件结构，然后将其直接从内存添加到请求数据中。