一、事件概述

近日，监测到有攻击者利用微信（PC版）0day漏洞对一些目标单位员工进行钓鱼攻击。攻击者通过构造恶意的钓鱼链接发给目标员工，当目标员工打开该链接时，触发漏洞，从而导致该员工PC被远程控制，而攻击者则进一步利用该PC作为跳板继续渗透目标单位内网。对此次攻击利用的漏洞情况，腾讯安全应急响应中心已发布《关于Chrome存在安全问题可能影响Windows版本微信的通告》，链接参考：

二、事件详情

通过分析，此次攻击链主要实施过程如下：

1、攻击者利用微信（PC版）0day构造恶意的钓鱼链接，通过微信将钓鱼链接发送给目标员工。

2、当员工打开攻击者的钓鱼链接时触发该漏洞，从而导致目标员工PC被植入攻击者制作的cobalstrike木马，木马进程为：dfsoft.exe，同时创建了名为dotnet_v4.3的系统服务。

3、随后，攻击者进一步在c:\\ProgramData\目录下放置TxPortMap.exe 扫描工具并利用该工具扫描目标单位内网。

通过验证，此次攻击技术特征如下：

通过微信点击URL链接，过程中会调用微信内置浏览器(chrome内核，并开启了--no-sandbox参数)加载远程js代码并执行，等针对chrome漏洞利用的js代码成功执行后，shellcode将启动远控进程，最终获取该PC当前用户权限。

由于存在漏洞版本的微信内置浏览器沙箱（开启了--no-sandbox参数)关闭，漏洞利用难度降低，影响较大，请及时更新到新版微信，如下图：

已验证该0day漏洞可利用性：

经验证用户只要点击一次链接就可以被完全控制。

三、处置措施

1、通知员工加强安全意识，尽量避免在微信（PC版）点击可疑链接；

2、目前微信已修复此漏洞并发布了更新版本，建议尽快推动员工升级微信（PC版）至最新安全版本。