摘要
Kaspersky研究人员近日发现一个Google Chrome浏览器的新的未知漏洞利用。经Google研究人员确认,是一个0 day漏洞,CVE编号为CVE-2019-13720。
研究人员将相关攻击活动命名为Operation WizardOpium。目前还无法将该攻击活动与已知的攻击者联系在一起。但研究人员发现部分代码与Lazarus攻击中的代码很相似。从被攻击的站点来看,与早期DarkHotel攻击活动类似。
技术细节
攻击活动使用了一种对韩语新闻门户的水坑形式的注入。攻击者会把恶意JS代码插入到主页中,恶意JS代码会从远程站点加载一个分析脚本。
重定向到漏洞利用加载页面
一个主页index页面会从hxxp://code.jquery.cdn.behindcorona[.]com/处加载一个标记为JS tag的远程脚本。
该脚本会加载一个名为.charlie.XXXXXXXX.js的脚本。JS代码会通过比较浏览器的用户代理来检查受害者的系统是否感染,用户代理会在64位的Windows版本上运行,而非WOW64进程,奇热并尝试获取浏览器的用户名和版本。
该漏洞会尝试利用Google Chrome浏览器的bug,脚本会检查浏览器版本是否大于