Serviço de detecção de exploração do EdgeSpot identificou vários documentos em PDF que exploram uma vulnerabilidade de dia zero no Chrome para recolher dados dos utilizadores que abrem os ficheiros por meio do popular navegador de Internet.
Em dezembro de 2018 foram detetados os primeiros PDFs maliciosos pelos especialistas.
Quando a vítima abre o ficheiro PDF com o Google Chrome, o documento é exibido, enquanto o código malicioso recolhe os dados da vítima em segundo plano e envia-os para um servidor remoto sob o controle dos criminosos.
Os dados capturados incluem o endereço IP, o sistema operativo e as versões do Chrome, além do caminho completo do ficheiro PDF no sistema da vítima.
Since late December 2018, EdgeSpot has detected multiple PDF samples in the wild which exploit a Google Chrome zero-day flaw.” reads the analysis published by EdgeSpot.
“The exploited vulnerability allows the sender of the PDF files to track the users and collect some user’s information when they use Google Chrome as a local PDF viewer.”
É interessante notar que, se as vítimas abrirem os mesmos ficheiros com o Adobe Reader, nada acontece.
Os especialistas observaram ainda que os dados são enviados para os servidores remotos por meio de solicitações HTTP POST sem exigir nenhuma interação do utilizador. Os dados foram enviados para um dos dois domínios: burpcollaborator[.]net ou readnotify[.]com.
Um dos ficheiros analisados pelo EdgeSpot, é um documento do Lonely Planet sobre a história das Ilhas da Baía das Honduras.
A maioria das amostras detetadas tem uma baixa taxa de deteção no VirusTotal, no momento em que foi escrito que apenas dois produtos antivírus são capazes de detetá-los.
Os especialistas analisaram o documento e validaram código javascript suspeito na stream-1. O código foi identificado na root em ““this.submitForm()” .
“We tested it with a minimal PoC, a simple API call like “this.submitForm(‘http://google.com/test’)” will make Google Chrome send the personal data to google.com.” states the experts.
“We decided to release our finding prior to the patch because we think it’s better to give the affected users a chance to be informed/alerted of the potential risk, since the active exploits/samples are in the wild while the patch is not near away. “
Aos utilizadores urge não utilizar o Google Chrome para a abertura de PDFs. Como workaround, pode ser utilizado uma outra aplicação terceira para abrir PDFs, ou caso seja pretendido mesmo assim utilizador o Chrome, o device deve ser desconectado da Internet.
Timeline:
- 2018.12.26 Finding reported to Google
- 2019.02.12 More samples were detected during the period
- 2019.02.14 After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
- 2019.02.26 Blog post released
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.