Chrome浏览器零日漏洞!借PDF文件收集用户数据

Chrome浏览器零日漏洞!借PDF文件收集用户数据

自2018年12月下旬以来,安全格式EdgeSpot已经在野外检测到多个恶意PDF样本。该公司本周表示,这些恶意PDF文档利用谷歌Chrome浏览器零日漏洞进行攻击。一旦用户以Chrome内置PDF查看器中打开PDF文件,该漏洞便允许攻击者收集该用户设备上的数据。

截至目前,对恶意样本的检测率很低——它们被大多数防病毒软件标记为“干净”,只有2-3种产品检测到它们。这也意味着这种威胁还没有得到足够的重视。

Chrome浏览器零日漏洞!借PDF文件收集用户数据

VirusTotal上的恶意PDF样本检测结果

EdgeSpot发现了这些恶意PDF文件会与一个远程域名保持联系,将设备的信息泄露出去,包括IP地址、操作系统版本、Chrome版本以及PDF文件在用户设备上的完整路径。

研究人员认为此类行为仅限于以Chrome浏览器打开PDF文件,因为当他们尝试在桌面PDF查看应用程序(如Adobe Reader等)中打开相同的PDF文件时,这种远程通信行为并未发生。

该公司表示,它发现了两组不同的恶意PDF文件都利用了此Chrome零日漏洞,其中一组PDF文件在2017年10月左右分发,而第二组则是在2018年9月。两组恶意PDF文件返回用户数据的远程域名并不相同,分别将用户数据返回至readnotify.comzuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net

其中通过追踪readnotify.com的IP地址91.103.1.84可以发现,该IP已被标记为与恶意软件活动相关。

Chrome浏览器零日漏洞!借PDF文件收集用户数据

通过在后台捕获流量,研究人员观察到了一些通信流量,并且在没有用户交互的情况下进行的。换句话说,数据是在未经用户批准的情况下以静默方式发送的。通信流量是以HTTP POST数据包的形式,如以下Wireshark窗口所示:

Chrome浏览器零日漏洞!借PDF文件收集用户数据

研究人员分析了获取的PDF样本,发现在stream-1中存在一些可疑的代码:

Chrome浏览器零日漏洞!借PDF文件收集用户数据

在EdgeSpot发现的PDF文件中没有找到其他恶意代码。但是,通过收集那些以Chrome浏览器打开PDF文件的用户的设备数据,可以帮助攻击者调整未来的攻击模式和方向。如此说来,此次攻击更像是网络犯罪分子为未来更大规模攻击活动所做的一次“市场调研”。

研究人员表示,他们在去年圣诞节期间首次发现了这些恶意PDF文件,并通知谷歌公司。谷歌Chrome团队承认这一零日漏洞的存在,并承诺在将在4月底修复。

“我们决定在补丁发布之前公布我们的发现,因为这样可以让潜在受影响的用户尽早获得风险通知/警告以防攻击,”研究人员昨天在一篇博文中说到。该博文还公布了EdgeSpot发现的恶意PDF文件的样本和妥协指标(IOC)。

此外,EdgeSpot建议用户在补丁发布之前,使用桌面应用程序查看PDF文件或在Chrome浏览器中打开PDF文档时禁用网络连接。

本周早些时候,其他安全研究人员在另一项调查实验中,也研究了PDF文件的安全性。他们发现了多个漏洞,21个桌面PDF查看应用程序(参与实验的共有22个)和7个在线PDF查看器的数字签名服务中有5个伪造签名。由此可见,作为一种主流的文档格式,PDF已被越来越多的应用于网络攻击。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134640.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code