网络安全研究人员绘制了Jupyter的演变图，Jupyter是一个.NET信息窃取程序，以针对医疗保健和教育行业而闻名。最新的传输链使用了一个名为Nitro Pro的PDF应用程序。这些攻击首先部署一个超过100MB的MSI安装程序载荷，允许它们绕过防恶意软件引擎，并使用名为Advanced installer的第三方应用程序打包向导进行混淆。运行MSI有效载荷会导致执行嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序，加载程序在最后阶段解码并运行内存中的Jupyter.NET模块。

https://thehackernews.com/2021/0 … rsion-is-being.html

一个名为“Safepal Wallet”的恶意Firefox附加组件清空了用户的钱包，并在Mozilla附加组件网站上存活了7个月。研究人员在调查恶意Firefox附加组件时发现了该组件使用的网络钓鱼域。WHOIS记录显示，该钓鱼网站是在今年1月通过Namecheap注册的。该网页仍处于活动状态，并指示受害者按正确顺序输入“12字Backup Phrase，以便与您的SafePal钱包配对。”一旦输入了助记词并提交了表单，页面就会刷新而没有任何明显的响应。助记词被悄悄地发送给攻击者。

https://www.bleepingcomputer.com … ole-cryptocurrency/
Malicious 'Safepal Wallet' Firefox add-on stole cryptocurrency.pdf (2.19 MB, 下载次数: 0)

Malwarebytes的安全研究人员发现了针对许多俄罗斯组织的多次攻击，其中包括为俄罗斯弹道导弹和太空火箭项目开发液体和固体燃料的JSC GREC Makeyev公司。网络间谍活动背后的威胁参与者精心策划了鱼叉式网络钓鱼攻击，发送给目标组织的消息使用了武器化的Office文档。这些文件旨在利用CVE-2021-40444 Internet Explorer漏洞并伪装成由公司的人力资源部门发送的。攻击中使用的另一份诱饵文件声称来自莫斯科内政部。该文件的名称翻译为“非法活动通知”，其内容要求收件人填写表格，并在7天内将其返回内政部或回复此电子邮件。

https://securityaffairs.co/wordp … a-orgs-attacks.html

谷歌威胁分析小组的研究人员报告说，出于经济动机的行为者正在使用新的代码签名技巧来逃避检测。通过对可执行文件进行代码签名，可以验证其完整性并提供有关签名者身份的信息。专家们注意到OpenSUpdater背后的操控者采用了该技术，OpenSUpdater是一个已知的有害软件家族。这些威胁行为者旨在感染尽可能多的用户，他们的大多数目标似乎是对下载游戏破解和灰色区域软件感兴趣的美国用户。

https://securityaffairs.co/wordp … void-detection.html

Malwarebytes Labs收到了一个伪装成Uber安全警报的骗局，该警报写道“您最近在伦敦通过iPhone登录了您的Uber帐户。如果这不是您，请在此处重置您的密码”攻击者通过来电显示欺诈以使用真正的Uber号码发送虚假安全警报。点击消息内链接，将会跳转到在俄罗斯托管的诈骗网站。该网页要求用户提供电话号码，输入电话号码后提示用户账号已被锁定，需要验证用户身份，并要求用户重新登录。重新登录之后会要求用户提供信用卡详细信息和银行账户详细信息。信息输入完毕诈骗网站将会重定向到真正的Uber主页。

https://blog.malwarebytes.com/ma … a-real-uber-number/

一个自称为“Desorden Group”（“Desorden”）的威胁行为组织声称，于9月23日入侵了马来西亚ABX Express Enterprise的服务器。该团伙从ABX Express Enterprise的服务器上窃取了超过200GB的文件和数据库，以及数千万客户的个人数据，擦除了他们的驱动器并在他们的服务器上留下了关于数据泄露的说明。Desorden表示，此次泄露涉及数百万马来西亚客户的个人数据，航空账单数据库包含1500多万条记录，每条记录都包含发送方和接收方的信息。据报道，其他数据库还包括财务信息、客户和公司记录。

https://www.databreaches.net/des … a-from-abx-express/