Los investigadores descubrieron una nueva muestra de PDF maliciosa que tiene la capacidad de explotar el defecto de día cero de Google Chrome cuando las víctimas usan Chrome como un visor de PDF local.
Los atacantes que difunden este PDF armado pretenden explotar la vulnerabilidad de día cero de Chrome para rastrear a los usuarios y recopilar información de algunos usuarios cuando abren este PDF malicioso en el navegador Chrome.
Inicialmente, esta muestra detectada por EdgeSpot y su acción como un PDF legítimo sin actividades maliciosas cuando abrió Adobe popular Lector
Pero la misma muestra se abre a través del navegador Chrome localmente e inmediatamente establece el tráfico saliente sospechoso y también el motor detectado como s " POTENCIAL ATAQUE DE DÍA CERO (Google Chrome), FUGAS DE INFORMACIÓN PERSONAL.
En este momento, los investigadores se centraron en el tráfico en segundo plano y observaron que los datos robados se enviaban al dominio " readnotify.com " sin ninguna interacción adicional del usuario.
Según Edgespot Research, paquete HTTP, el remitente malintencionado puede recopilar la siguiente información del usuario:
- La dirección IP pública del usuario.
- Sistema operativo, versión de Chrome, etc. (en el encabezado HTTP POST).
- La ruta completa del archivo PDF en la computadora del usuario (en la carga HTTP POST).
En medio de artefactos especiales, este ejemplo de PDF malicioso afecta a Google Chrome (como visor de PDF local), no a Adobe Reader.
Aparte de NTLM, también roba la información del sistema operativo y el archivo almacenado del disco local.
El ejemplo de vulnerabilidad de PDF contiene el código sospechoso de Javascript de PDF en la secuencia-1 que eventualmente desofuscó el código para llamar a la API ("this.submitForm ()" ).
Esta grave falla se notificó a Google en diciembre de 2018 y Google respondió que el parche se lanzará en la actualización de seguridad de abril.
En este caso, los usuarios sugirieron utilizar una aplicación de lector de PDF alternativa para ver los documentos PDF recibidos localmente hasta que Chrome solucione el problema, o desconecte una computadora de Internet cuando abra documentos PDF en Chrome.
Algunas de las muestras de PDF maliciosas que explotan este Chrome Zero-day:
- https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection
- https://www.virustotal.com/#/file/286ed6d0261aed1115e06e2e8cf0af840297241e9dc9494a496a2c8b75457749/detection
- https://www.virustotal.com/#/file/a21a4fcc75cd20a0965f1673b98c0dd688711c40cbabf92a5e5cd1f31a7ac684/detection
- https://www.virustotal.com/#/file/1d151793f521419c1470079a37b1e37b8b59a5b69a5506f1d0dbee6f3995b25d/detection
- https://www.virustotal.com/#/file/0c3e8efd667f7ff1549bfd2a4498105cb2607314d73b7105f4c1d747d7341090/detection
- https://www.virustotal.com/#/file/fb56efe75f3b4509d5a2e0655536d9dab121798d92b8660121bd4691265a87e3/detection
- https://www.virustotal.com/#/file/622624d6f161b7d2fa7859d46792dd6bb49024b432b04106b1818510a2037689/detection
