Атаки, которые мы объединили под общим названием «операция WizardOpium», начались с корейского новостного сайта: именно туда злоумышленники внедрили вредоносный код. Он подгружает со стороннего сайта скрипт, который сначала проверяет, подходит ли система для заражения и какой браузер использует жертва: преступников интересует Chrome для Windows, причем не старше 65-й версии.
Если операционная система и браузер соответствуют требованиям злоумышленников, скрипт по частям загружает, собирает и расшифровывает эксплойт, который первым делом… снова проверяет версию Chrome. На этом этапе он оказывается более придирчив и работает исключительно с Chrome 76 или 77. Возможно, для других версий браузера в арсенале злоумышленников есть другие эксплойты, но наверняка мы этого сказать не можем.
Убедившись, что попал по адресу, эксплойт пытается воспользоваться уязвимостью CVE-2019-13720. Она относится к типу use-after-free и связана с некорректным использованием памяти компьютера. Эксплойт манипулирует памятью и в результате получает право считывать и записывать данные на устройство. Которым тут же и пользуется — загружает, расшифровывает и запускает зловреда. Последний может отличаться для разных пользователей.
ПО обнаруживает описанный эксплойт с вердиктом Exploit.Win32.Generic. Больше технических деталей можно найти в посте на Securelist.
Обновите Chrome
Даже если вы не читаете корейские новостные издания, мы советуем безотлагательно обновить Chrome до версии 78.0.3904.87. Один эксплойт, использующий эту уязвимость, уже есть, а значит, могут появиться и другие. Скорее всего, это произойдет сразу после того, как детали уязвимости окажутся в свободном доступе.
Компания Google выпустила обновление Chrome для Windows, macOS и Linux. Chrome обновляется автоматически, и, скорее всего, будет достаточно просто перезапустить браузер.
Для полной уверенности стоит убедиться, что обновление установлено. Для этого нажмите на три вертикальные точки в правом верхнем углу браузера («Настройка и управление Google Chrome»), выберите Справка → О браузере Google Chrome.Если номер, который вы увидите, — это 78.0.3904.87 или выше, то все уже в порядке. Если нет, то Chrome начнет искать и устанавливать доступные обновления (слева вы увидите вращающийся кружок), и через несколько секунд на экране появится номер самой свежей версии: нажмите Перезапустить.