谷歌威脅分析小組(TAG)近日指出:早在 2022 年 1 月 4 日,他們就留意到了針對 Chrome 瀏覽器的一個漏洞利用工具包。然後 2 月 10 日,其追蹤發現兩個疑似有朝鮮背景的團體也在利用相應的手段,向美國新聞、IT、加密貨幣和金融科技站點發起了攻擊。
釣魚網站示例(圖 via Google Blog)
慶幸的是,這家科技巨頭於 2 月 14 日成功修補了該漏洞。鑒於所有攻擊者都利用相同的漏洞工具包,TAG 推測他們可能是從同一個上游供應商那裡獲取的。
期間,谷歌從新聞媒體從業者那裡收到了一些報告,得知有攻擊者假裝是迪士尼、谷歌、甲骨文的招聘人員,向他們發去了釣魚郵件。其中包含了指向虛假網站的鏈接,比如 ZipRecruiter 和 Indeed 等招聘門戶網站的鏡像。
與此同時,金融科技和加密貨幣公司也被偽裝成合法企業的釣魚鏈接所欺騙。任何點擊鏈接的人,都會被隱藏於受感染的網站中的 iframe 代碼給觸發漏洞利用。
至於這個漏洞利用工具包,起初僅提供一些針對目標系統開展指紋識別的嚴重混淆 JavaScript 代碼。
該腳本會收集所有可用的客戶端信息,比如用戶代理、分辨率等,然後將其發回給漏洞利用服務。
若滿足一組未知的要求,客戶端將被推送包含 Chrome 遠程代碼執行(RCE)漏洞利用的額外 JavaScript 代碼。
得逞之後,該腳本還會請求下一階段的沙箱逃逸(簡稱 SBX)代碼,可惜 TAG 團隊未能深入獲取更多細節。
此外攻擊者利用了幾套複雜的方法來隱藏他們的活動,包括僅在目標訪問網站的預期訪問時間段內啟用 iframe、用於一次性點擊的唯一 URL 鏈接實現、以及利用 AES 加密步驟和管道的原子性。
最後,儘管 Google 早在 2 月 14 日就修復了 Chrome 中的 REC 漏洞,但該公司還是希望通過披露這些細節,以敦促用戶儘快接收瀏覽器的最新安全補丁、並在 Chrome 中啟用增強安全瀏覽選項。