一名黑客成功入侵印度尼西亚的国家数据中心，中断了机场移民检查，并索要 800 万美元的赎金。 此次网络攻击活动导致印度尼西亚众多政府服务出现故障，其中机场最为明显，移民柜台前排起了长队。印度尼西亚通讯部指出，护照自动办理机目前已经恢复正常运转。 值得一提的是，印度尼西亚相关机构负责人 Budi Arie Setiadi 向路透社透露，经过安全研究人员研究分析，发现黑客使用了 Lockbit 3.0 变种。 Budi 指出，印度尼西亚政府已经组织多位网络安全专家，集中精力恢复受网络攻击活动影响的国家数据中心相关服务，但没有透露是否支付了赎金。 众所周知，赎金软件的”工作“原理是加密受害者的数据信息后，黑客向受害者发送勒索信息，要求支付巨额赎金换取解密密钥（通常是用加密货币支付，金额可达数十万甚至数百万美元）。如果受害者拒不支付赎金，黑客就会威胁泄露或删除机密数据，以此向受害者施压。 印度尼西亚通讯部官员塞缪尔-阿布里亚尼-潘尔加潘（Semuel Abrijani Pangerapan）表示，此次网络攻击是过去几年印度尼西亚公司和政府机构遭受的一系列网络攻击事件中最严重的事件之一，数字取证调查目前正在进行中，进一步的细节尚未发现。 印度尼西亚媒体报道，2023 年，印度尼西亚最大的伊斯兰贷款机构印尼伊斯兰银行（BSI）1500 万客户的账户信息被公布在网上，但该银行并未证实其数据已被泄露。2022 年，印尼中央银行遭到勒索软件攻击，但该银行表示攻击并未影响其公共服务。2021 年，卫生部的 COVID 应用程序出现漏洞，导致 130 万人的个人数据和健康状况泄露。 最后，网络安全专家泰古-阿普里安托（Teguh Aprianto）强调，LockBit 勒索软件攻击事件引发了严重的后果，也是第一次对印尼的公共服务造成长达数天的中断，这表明政府的基础设施、处理网络安全事件的人力以及供应商都存在问题。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404491.html 封面来源于网络，如有侵权请联系删除

近日，Cleafy 公司的威胁情报团队发现，专门针对安卓系统的Medusa银行木马软件再次“卷土重来”。该软件此前曾对法国、意大利、美国、加拿大、西班牙、英国和土耳其发起过攻击活动，沉寂了一年后，如今又出现了新的 Medusa 恶意软件变种。 Medusa 银行木马也被称为 TangleBot，是 2020 年发现的一种安卓恶意软件即服务（MaaS）操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能。 虽然名称相同，但该行动不同于勒索软件团伙和基于 Mirai 的分布式拒绝服务（DDoS）攻击僵尸网络。 研究人员表示，这些恶意软件变种更轻巧，在设备上需要的权限更少，而且包括全屏覆盖和截图捕获。 最新活动 Cleafy 的研究人员表示，2023年7月就曾在依靠短信钓鱼（”smishing”）的活动中发现了Medusa 变种，它们通过滴注应用程序侧载恶意软件。当时共发现了 24 个使用该恶意软件的活动，研究人员将其归因于五个独立的僵尸网络（UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY），这些僵尸网络负责发送恶意应用程序。 UNKN 僵尸网络由一群不同的威胁行为者运营，主要针对欧洲国家，特别是法国、意大利、西班牙和英国。 Medusa 僵尸网络和集群概述，资料来源： Cleafy 在这些攻击中使用的钓鱼应用程序包括一个虚假的 Chrome 浏览器、一个 5G 连接应用程序和一个名为 4K Sports 的假冒流媒体应用程序。 鉴于 2024 年欧洲杯正在进行中，选择 4K 体育流媒体应用程序作为诱饵似乎恰逢其时。 Cleafy 评论说，所有活动和僵尸网络都由 Medusa 的中央基础设施处理，该基础设施从公共社交媒体配置文件中动态获取指挥和控制（C2）服务器的 URL。 从秘密渠道检索 C2 地址，图片来源：Cleafy 新的 Medusa 变种 Medusa恶意软件的创建者减少了其在被攻击设备上的足迹，现在只要求一小部分权限。不过仍需要安卓的可访问性服务。 此外，该恶意软件还保留了访问受害者联系人列表和发送短信的功能。 所申请权限的比较，资料来源： Cleafy Cleafy 的分析显示，恶意软件作者删除了前一版本恶意软件中的 17 条命令，并添加了 5 条新命令： destroyo：卸载特定应用程序 permdrawover：请求 “Drawing Over “权限 setoverlay：设置黑屏覆盖 take_scr：截图 update_sec：更新用户秘密 值得注意的是，”setoverlay “命令允许远程攻击者执行欺骗性操作，例如使设备显示锁定/关闭，以掩盖后台发生的恶意 ODF 活动。 实际黑屏覆盖，图片来源：Cleafy 捕获屏幕截图的新功能也是此次新增的一个重要功能，它为威胁者提供了一种从受感染设备中窃取敏感信息的新方法。 总体而言，Medusa 移动银行木马的行动相比之前扩大了目标范围，并且行动更加隐蔽难以发现，为后续发起更大规模的攻击行动“奠定”了基础。 虽然 Cleafy 目前还未在 Google Play 上发现任何此类程序，但随着加入 MaaS 的网络犯罪分子数量不断增加，其传播策略也将变得更加复杂。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404489.html 封面来源于网络，如有侵权请联系删除

南非国家卫生实验室服务中心 (NHLS) 周二证实，该国正在应对 mpox （猴痘）疫情，勒索软件攻击严重影响了实验室的正常运营。 该组织发言人称，勒索软件攻击始于周六早上，黑客删除了其系统的部分内容，包括备份服务器，这意味着他们将不得不重建许多受影响的部分。 NHLS 在南非各地运营着 265 个实验室，为该国 9 个省的公共医疗机构提供检测服务。该发言人拒绝透露哪个勒索软件组织是此次事件的幕后黑手，也拒绝透露是否会支付赎金。 NHLS 首席执行官科莱卡·姆利萨纳在一份声明中表示，官员们不知道系统何时能恢复。初步调查结果显示，保存患者信息的数据库没有丢失或被盗用。 一种未知的勒索软件被用来攻击该机构 IT 系统的特定部分，“使其无法访问并阻止数据库与用户之间的通信”。 “在确保和修复环境完整性之前，我们所有的系统（包括医疗机构内外）都无法访问，NHLS 网络实验室系统严重依赖这些已中断的信息技术系统。”Mlisana 解释道。 官方已关闭部分系统以修复损坏，并已召集事件响应小组应对此次攻击。还引入了外部网络安全公司来协助应对攻击。 该服务的所有实验室仍在运作，并继续接收和处理临床样本。但在正常情况下，实验室报告会自动生成并发送给临床医生或通过网络提供。 勒索软件攻击导致该功能失效，迫使医生通过电话向他们通报更紧急的检测结果。有些检测结果被打印出来并发送给医院或医生。 鉴于猴痘病毒（又称猴痘）的爆发，此次勒索软件攻击在南非引起了恐慌。截至周二，已发现3 例死亡病例和 16 例实验室确诊病例。 非洲疾病控制与预防中心总干事吉恩·卡西亚 (Jean Kaseya) 本月早些时候表示，任何地方爆发的 Mpox 疫情“都对整个地区构成威胁”。 卡西亚表示:“我们呼吁采取迅速紧急行动，增加所有受影响的非洲国家获得 Mpox 诊断、疫苗和治疗的机会。” 负责管辖该组织的南非国家卫生部已将问题转交给 NHLS 的发言人。 过去一年，南非政府机构多次遭受勒索软件攻击。去年 6 月，一家国有银行遭到攻击；9 月，南非国防部遭到 Snatch 团伙攻击。南非国际贸易管理委员在 2024 年初遭到勒索软攻击。 今年，勒索软件团伙将目标锁定在世界各地医疗保健系统的关键环节，其中几起攻击对寻求医疗服务的人造成巨大影响。最近几周，英国一家为医院和当地诊所提供病理学服务的关键企业遭到勒索软件攻击，导致数千例手术被迫取消。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rK_qJgaenqSzzxWQjDk3Qg 封面来源于网络，如有侵权请联系删除

Chrome Web Store 上的恶意扩展程序问题到底有多严重？这取决于你相信谁。 谷歌方面表示，所有安装中只有不到 1% 包含恶意软件。但一组大学研究人员声称，在三年内有 2.8 亿人安装了受恶意软件感染的 Chrome 扩展程序。 谷歌上周表示，到 2024 年， Chrome Web Store上安装的所有扩展程序中，只有不到 1% 被发现包含恶意软件，目前该应用商店包含超过 25 万个扩展程序。 该公司补充说，虽然它对自己的安全记录感到自豪，但一些不良扩展程序仍然会通过，这就是为什么它还会监控已发布的扩展程序。“与任何软件一样，扩展程序也可能带来风险。” 斯坦福大学和 CISPA 亥姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 对这些数字给出了精确的估计。 据一份研究报告显示，三人对 Chrome 商店的安全重点扩展程序 (SNE) 进行了检查。SNE 是指包含恶意软件、违反 Chrome 网上商店政策或包含易受攻击代码的扩展程序。 研究发现，在 2020 年 7 月至 2023 年 2 月期间，有 3.46 亿用户安装了 SNE。其中 6300 万个违反政策，300 万个易受攻击，而这些 Chrome 扩展程序中有 2.8 亿个包含恶意软件。当时，Chrome 网上应用店中有近 125,000 个扩展程序可用。 研究人员发现，安全的 Chrome 扩展程序通常不会在商店中停留很长时间，一年后只有 51.8 – 62.9% 的扩展程序仍可用。另一方面，SNE 平均在商店中停留 380 天（恶意软件），如果包含易受攻击的代码，则停留 1,248 天。 存活时间最长的 SNE 名为 TeleApp，已存在 8.5 年，最后一次更新是在 2013 年 12 月 13 日，并于 2022 年 6 月 14 日被发现包含恶意软件，随后被删除。 我们经常被建议检查用户评级来确定应用程序或扩展程序是否是恶意的，但研究人员发现，这对于 SNE 的情况没有帮助。 “总体而言，用户不会给 SNE 打低分，这表明用户可能没有意识到此类扩展程序很危险。”作者写道。“当然，机器人也有可能给这些扩展程序打出虚假评论和高分。然而，考虑到一半的 SNE 都没有评论，似乎在这种情况下使用虚假评论并不普遍。” 谷歌表示，专门的安全团队会为用户提供他们安装的扩展程序的个性化摘要，在扩展程序发布到商店之前对其进行审查，并在发布后持续监控它们。研究人员建议谷歌还监控扩展程序的代码相似性。 报告指出：“例如，大约有 1,000 个扩展使用开源 Extensionizr 项目，其中 65% 到 80% 仍在使用六年前最初随该工具打包的默认和易受攻击的库版本。”他们还指出，由于缺乏维护，扩展在漏洞披露后很长时间仍留在商店中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2ZNw6pZsmEwuSg_4311Ucg 封面来源于网络，如有侵权请联系删除

Darkreading 网站消息，与最近的 Ticketmaster 入侵事件直接相似的事件中，澳大利亚一家现场活动票务巨头 Ticketek 表示，它是通过第三方云提供商被入侵的，而 ShinyHunters 则是罪魁祸首。 ShinyHunters 网络犯罪团伙又对一名受害者“下手”了，这次是在澳大利亚。该团伙最近在一个暗网论坛上发布了一些信息，称该信息针对的是澳大利亚现场活动票务组织 Ticketek 的约 3000 万用户。 Ticketek Entertainment Group (TEG) 已于 5 月底披露了这一漏洞。根据其网站上的一份声明，该公司指出，信息是通过一家未具名的第三方云提供商窃取的，攻击者窃取了客户的姓名、出生日期和电子邮件地址。TEG 强调，没有用户账户被泄露，支付信息也没有卷入此次事件。 这次事件与 Ticketmaster 的泄密事件极为相似，6 月初，ShinyHunters 在 BreachForums 地下市场上发布了影响 5.6 亿客户的信息后，该事件才被曝光。该漏洞也是由于第三方云账户泄露造成的，研究人员很快发现该账户就是 Snowflake。 研究人员随后确定，Ticketmaster 事件是针对安全性较差的 Snowflake 账户的更广泛的网络攻击活动的一部分，多达 165 家组织受到了攻击，其中包括 Advanced Auto Parts 和桑坦德银行（很可能）。攻击者的目标：缺乏多因素身份验证（MFA）的云账户，使用的是以前被入侵的凭证。根据 Mandiant 最近的分析，有些密码已经三年没有更换过了。 尽管有研究人员猜测，但 TEG 并未证实与 Snowflake 或 ShinyHunters 有关联，也未证实 ShinyHunters 是此次网络事件的罪魁祸首，不过在 2022 年的一份案例研究（PDF）中，该云提供商是这家票务巨头的技术合作伙伴。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404400.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现了一个名为 AdsExhaust 的虚假广告软件。当用户搜索 Windows 的 Meta Quest 应用程序时，就会被提示下载该软件。 据网络安全公司 eSentire 称，该软件能够从受感染的设备中获取屏幕截图，并使用模拟击键与浏览器进行交互。这些功能使其能够自动点击广告或将浏览器重定向到特定 URL，为广告软件运营商创造收入。 起初，他们是通过利用搜索引擎优化（SEO）中毒技术在谷歌搜索结果页面上显示假网站（”oculus-app[.]com”），然后诱骗那些网站访问者下载一个包含 Windows 批处理脚本的 ZIP 压缩包（”oculus-app.EXE.zip”）。 该批处理脚本旨在从命令与控制 (C2) 服务器获取第二个批处理脚本，该脚本反过来又包含获取另一个批处理文件的命令。它还会在机器上创建计划任务，以便在不同时间运行批脚本。 在这一步之后，合法应用程序会被下载到被入侵的主机上，与此同时，额外的 Visual Basic 脚本 (VBS) 文件和 PowerShell 脚本会被投放，以收集 IP 和系统信息、截图，并将数据外泄到远程服务器（”us11[.]org/in.php”）。 服务器的响应是基于 PowerShell 的 AdsExhaust 广告软件，它会检查微软的 Edge 浏览器是否正在运行，并确定用户最后一次输入的时间。 eSentire 表示：如果 Edge 正在运行，且系统闲置时间超过 9 分钟，脚本就会注入点击，打开新标签，并导航到脚本中嵌入的 URL。然后，它会随机上下滚动打开的页面。这种行为被怀疑是为了触发网页上的广告等元素，特别是考虑到 AdsExhaust 会在屏幕上的特定坐标内执行随机点击。 此外，该广告软件还能在检测到鼠标移动或用户交互时关闭打开的浏览器，创建一个覆盖层以向受害者隐藏其活动，同时还能在当前打开的 Edge 浏览器标签页中搜索 “赞助商 “一词以点击广告，从而达到增加广告收入的目的。 它还能从远程服务器获取关键字列表，并通过启动进程 PowerShell 命令启动 Edge 浏览器会话，从而对这些关键字执行 Google 搜索。 加拿大公司指出：AdsExhaust 是一种广告软件威胁，它能巧妙地操纵用户交互并隐藏其活动，以产生未经授权的收入。其包含多种技术，如从 C2 服务器检索恶意代码、模拟按键、捕获屏幕截图和创建覆盖层，以便在进行恶意活动时不被发现。 这次攻击的突出之处在于，威胁者利用了 YouTube 视频为虚假网站做广告，并使用机器人发布虚假评论，误导了那些正在寻找解决方案以解决 Windows 更新错误（错误代码 0x80070643）的用户。 eSentire 表示：这凸显了社会工程学策略的有效性，用户需要谨慎对待他们在网上找到的解决方案的真实性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404300.html 封面来源于网络，如有侵权请联系删除

Lockbit 勒索软件组织宣布已入侵美国联邦储备银行系统，窃取 33 TB 敏感数据，其中包括“美国人的银行机密”。 Lockbit 勒索软件组织将美联储添加到其 Tor 数据泄露网站的受害者名单中，并威胁将于 2024 年 6 月 25 日 20:27:10 UTC 泄露被盗数据。 该组织尚未公布任何被盗数据样本。 “联邦银行是美国联邦储备银行分配资金的方式。联邦储备银行在全国范围内经营 12 个银行区，负责监督各自区域内的资金分配。联邦储备银行所在的 12 个城市是波士顿、纽约市、费城、里士满、亚特兰大、达拉斯、圣路易斯、克利夫兰、芝加哥、明尼阿波利斯、堪萨斯城和旧金山。”该组织在其泄密网站上发布的公告写道。 “33TB 的银行机密信息包含着美国人的银行机密。” “你最好在 48 小时内再雇一个谈判员，然后解雇这个把美国人的银行机密价值定为 5 万美元的白痴。” 许多专家对该犯罪集团的声明持怀疑态度。美联储是一个备受关注的目标，数据泄露可能会带来严重后果。许多人认为该组织的声明只是为了引起注意。 6 月初，FBI通知LockBit 勒索软件的受害者，其已获得超过 7,000 个 LockBit 解密密钥，可以帮助部分受害者解密数据。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/RS_QkAuQ-REgwfKGkEBICQ 封面来源于网络，如有侵权请联系删除

据Hackread消息，名为“撒旦云”（The Satanic Cloud）的黑客组织近日泄露了了美国第二大公立学校系统洛杉矶联合学区 （LAUSD）数百万学生及教职工的个人信息数据。目前，这些数据已经现身多个黑客论坛及Telegram频道。 这些泄露的数据显示涉及2416万条名学生及近5.5万条教职工信息，Hackread对数据去重分析后，提炼出195万条有效记录。这些数据类目繁多，包括学生姓名、邮编、生日、身份证号码、电话号码、电子邮件地址、家庭住址、学校名称、是否有移民身份等，教职工信息还涉及供职状况、就业经历、职位等信息。 Hackread分析数据截图 Hackread联系了声称对这次攻击负责的黑客，确认这是一起利用Snowflake云数据库平台漏洞的攻击行为，并警告称对漏洞的利用还有更多。 据彭博社报道，LAUSD 承认数据泄露的发生是因为第三方供应商将被盗数据存储在了Snowflake。目前LAUSD正在与联邦调查局、CISA及其供应商合作，进一步调查这一事件。 值得注意的是，Snowflake漏洞也是之前臭名昭著的Ticketmaster数据泄露的罪魁祸首，该事件导致黑客窃取了1.3TB、涉及5.6 亿用户的个人数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404300.html 封面来源于网络，如有侵权请联系删除

近日，首尔国立大学和三星研究院的研究人员发现，攻击者可成功绕过 ARM 芯片针对内存损坏的新防御功能，成功率接近 100%。发现的漏洞可导致多种网络攻击，包括权限升级、任意代码执行、敏感数据泄露或严重系统损坏。 ARM 是一种具有精简指令集的计算机处理器架构，在手机和平板电脑市场占据主导地位，为许多小工具提供动力，并在笔记本电脑和个人电脑中日益普及。 然而，研究人员发现，ARM 很容易受到内存损坏的影响，因为防范此类漏洞的功能很容易被绕过。 内存标记扩展（MTE）是 ARM 架构中引入的一项硬件功能，用于检测内存损坏漏洞。MTE 的工作原理是为不同内存区域分配唯一标签，并在内存访问期间检查标签是否匹配。 研究人员能够在不到 4 秒的时间内以 95% 的成功率泄露 MTE 标记，绕过基于 MTE 的缓解措施。 论文写道：”攻击者可以绕过 MTE 的概率防御，将攻击成功率提高近 100%。”但这并不意味着会直接泄露密码或加密密钥等敏感数据。攻击者需要利用泄露的 MTE 标签来禁用安全措施，然后利用内存泄露漏洞实施实际攻击，即制作更复杂的攻击来执行任意代码。 研究人员演示了 TIKTAG-v1 和 TIKTAG-v2 两种技术，展示了现实世界中针对 Chrome 浏览器、Linux 内核和 Google Pixel 8 的攻击是如何发生的。 这种攻击利用处理器的投机行为，在所谓的投机执行攻击中泄露敏感信息，类似于 Spectre 和 Meltdown。通过诱使处理器泄漏内存中的秘密信息，攻击者就可以尝试通过注入恶意代码来操纵内存。 “使用 TIKTAG 小工具发起真实世界攻击存在几个挑战。首先，TIKTAG 小工具应在目标地址空间内执行，这就要求攻击者从目标系统中构建或查找小工具。其次，攻击者应控制并观察缓存状态，以泄露标签检查结果。”研究人员说。 安卓安全团队承认该问题是 Pixel 8 的硬件缺陷，决定在安卓基于 MTE 的防御中解决该问题，并为该报告提供了赏金奖励。 虽然 ARM 承认 CPU 保护的有效性可能会受到阻碍，但芯片设计者并不认为投机预言的风险会损害 ARM 提供的价值。 “ARM 的 MTE 分配标签不应该是一个秘密，因此，揭示正确标签值的机制并不是对架构原则的妥协。”该公司在一份文件中说。 研究人员提出了更好地保护芯片的措施，并声称基于 MTE 的保护措施仍然是缓解内存损坏攻击的一种有吸引力的解决方案。   转自FreeBuf，原文链接：https://www.freebuf.com/articles/404279.html 封面来源于网络，如有侵权请联系删除

威胁攻击者正在大量部署一种名为 “Rafel RAT “的开源恶意软件，攻击”过时“安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示，共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。 据悉，Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。 Rafel RAT 恶意软件目标品牌和型号非常广泛，包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。 Check Point 分析大量网络攻击活动后发现，受害者运行的安卓版本已达到生命周期终点（EoL），其中 87.5% 运行安卓 11 及以上版本，只有 12.5% 的受感染设备运行 Android 12 或 13。鉴于很多”过时“版本不再接受安全更新，因此容易受到已知/已发布漏洞的攻击。 Rafel RAT 勒索软件 恶意软件传播途径多种多样，威胁攻击者通常会滥用 Instagram、WhatsApp、电子商务平台或杀毒应用程序等知名品牌，诱骗人们下载恶意 APK。 捆绑 Rafel RAT 安装程序的虚假应用程序（来源：Check Point） 安装过程中，Rafel RAT 恶意软件会请求访问风险权限，包括免于电池优化，允许在后台运行。值得一提的是，Rafel RAT 恶意软件支持的命令因变种而异，但一般包括以下命令： 勒索软件： 启动设备上的文件加密进程； wipe： 删除指定路径下的所有文件； 锁定屏幕： 锁定设备屏幕，使设备无法使用； sms_oku： 向命令与控制 (C2) 服务器泄漏所有短信（和 2FA 代码）； location_tracker： 向 C2 服务器泄露实时设备位置。 Rafel RAT 恶意软件的行动由中央面板控制，威胁攻击者可在此访问设备和状态信息，并决定下一步攻击步骤。 Rafel RAT 面板上受感染设备概览（来源：Check Point ） 最常发布的命令（来源：Check Point ） Rafel RAT 中的勒索软件模块旨在通过控制受害者的设备，并使用预定义的 AES 密钥加密他们的文件来执行勒索计划。 Rafel RAT 的加密方法（来源：Check Point ） 一旦获得了受害者设备的管理权限，Rafel RAT 勒索软件就能轻松控制设备的关键功能，例如更改锁屏密码和在屏幕上添加自定义信息（通常是赎金说明）。如果用户试图撤销管理权限，勒索软件就会立刻做出反应，更改密码并立即锁定屏幕。 针对权限撤销企图的反应机制（来源：Check Point ） Check Point 的研究人员检测到了几起涉及 Rafel RAT 勒索软件攻击活动，其中包括一次来自伊朗的攻击，该攻击在运行加密模块之前使用了 Rafel RAT 的其他功能进行侦查。之后，威胁攻击者很快就清除了通话记录，更改壁纸以显示自定义信息，锁定屏幕，激活设备振动，并发送包含赎金说明的短信，敦促受害者在 Telegram 联系威胁攻击者。 最后，安全专家强调想要抵御 Rafel RAT 恶意软件攻击，请避免从可疑来源下载 APK，不要点击电子邮件或短信中嵌入的 URL，并在启动应用程序前使用 Play Protect 扫描。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404243.html 封面来源于网络，如有侵权请联系删除