谷歌威脅分析小組（TAG）近日指出：早在2022 年1 月4 日，他們就留意到了針對Chrome 瀏覽器的一個漏洞利用工具包。然後2 月10 日，其追踪發現兩個疑似有朝鮮背景的團體也在利用相應的手段，向美國新聞、IT、加密貨幣和金融科技站點發起了攻擊。

釣魚網站示例（圖via Google Blog）

慶幸的是，這家科技巨頭於2 月14 日成功修補了該漏洞。鑑於所有攻擊者都利用相同的漏洞工具包，TAG 推測他們可能是從同一個上游供應商那裡獲取的。

期間，谷歌從新聞媒體從業者那裡收到了一些報告，得知有攻擊者假裝是迪士尼、谷歌、甲骨文的招聘人員，向他們發去了釣魚郵件。其中包含了指向虛假網站的鏈接，比如ZipRecruiter 和Indeed 等招聘門戶網站的鏡像。

與此同時，金融科技和加密貨幣公司也被偽裝成合法企業的釣魚鏈接所欺騙。任何點擊鏈接的人，都會被隱藏於受感染的網站中的iframe 代碼給觸發漏洞利用。

至於這個漏洞利用工具包，起初僅提供一些針對目標系統開展指紋識別的嚴重混淆JavaScript 代碼。

該腳本會收集所有可用的客戶端信息，比如用戶代理、分辨率等，然後將其發回給漏洞利用服務。

若滿足一組未知的要求，客戶端將被推送包含Chrome 遠程代碼執行（RCE）漏洞利用的額外JavaScript 代碼。

得逞之後，該腳本還會請求下一階段的沙箱逃逸（簡稱SBX）代碼，可惜TAG 團隊未能深入獲取更多細節。

此外攻擊者利用了幾套複雜的方法來隱藏他們的活動，包括僅在目標訪問網站的預期訪問時間段內啟用iframe、用於一次性點擊的唯一URL 鏈接實現、以及利用AES 加密步驟和管道的原子性。

最後，儘管Google 早在2 月14 日就修復了Chrome 中的REC 漏洞，但該公司還是希望通過披露這些細節，以敦促用戶盡快接收瀏覽器的最新安全補丁、並在Chrome 中啟用增強安全瀏覽選項。