單擊電子郵件中的網絡釣魚鏈接後,用戶的系統立即受到損害。
安全公司卡巴斯基剛剛發現了新一波的惡意軟件感染。在電子郵件中單擊網絡釣魚鏈接後,即使該人沒有執行任何進一步的操作,用戶的系統也會立即妥協。
通過分析,卡巴斯基證實,這次攻擊是在當時最新版本的Chrome中剝削了以前未被發現的漏洞。卡巴斯基團隊立即提醒了Google的安全團隊。結果,該漏洞的安全補丁於2025年3月25日發布。
Chrome上極其危險的零日漏洞:用戶立即更新!圖片1
零日漏洞非常危險。 (插圖)
卡巴斯基(Kaspersky)稱競選活動“ Forumtroll”,因為攻擊者發送了邀請受害者參加“ Primakov Readings”論壇的電子郵件。主要目標包括俄羅斯的媒體,教育機構和政府機構。更糟糕的是,惡意鏈接僅在短時間內可用以避免檢測。在大多數情況下,將鏈接重定向到合法的Primakov閱讀網站,以在騙局完成後隱藏其曲目。
“與我們多年來發現的數十個零日漏洞相比,這種脆弱性特別危險。攻擊者在不執行任何明確的行動的情況下繞過鍍鉻的沙箱保護機制,借鑒了瀏覽器的安全系統,就好像不存在這種漏洞一樣,” Kasperskersky的安全研究負責人說。
拉林警告說:“鑑於復雜的水平,這種攻擊方法可能是由高技能和足智多謀的網絡犯罪群體開發的。我們建議所有用戶將Google Chrome和其他基於鉻的瀏覽器更新為最新版本,以避免攻擊風險。”
以前,卡巴斯基的偉大團隊還發現了Chrome的另一個零日漏洞(CVE-2024-4947)。 APT集團Lazarus在加密貨幣盜竊活動中利用了這種脆弱性。當時,卡巴斯基的研究人員在Chrome的V8 JavaScript引擎中發現了一個“類型混亂”錯誤,使黑客可以通過虛假的加密貨幣網站繞過安全機制。
Kaspersky安全專家建議互聯網用戶始終更新其操作系統和Web瀏覽器(尤其是Google Chrome),以避免通過新的安全漏洞攻擊網絡犯罪分子。
