據(jù)外媒報道,漏洞檢測服務(wù)公司EdgeSpot本周發(fā)現(xiàn),惡意PDF文檔利用了谷歌Chrome瀏覽器的零日漏洞,用戶在Chrome內(nèi)置PDF閱讀器中打開PDF文件時,攻擊者便可盜取用戶數(shù)據(jù)。
該公司發(fā)現(xiàn)了兩組利用Chrome零日漏洞的惡意PDF文件,其中一組文件在2017年10月傳播,另一組文件在2018年9月傳播。
第一批惡意PDF文件將用戶數(shù)據(jù)發(fā)送回“readnotify.com”,第二批發(fā)送回“zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net”。
PDF文檔與用戶設(shè)備上的遠(yuǎn)程域聯(lián)系,包括IP地址、OS版本、Chrome版本以及用戶計算機(jī)上PDF文件的路徑。
當(dāng)研究人員在其他桌面PDF閱讀器應(yīng)用程序(如Adobe Reader等)中打開相同的PDF文件時,并沒有發(fā)生信息泄露。目前,只有Chrome中存在這種情況。
雖然EdgeSpot發(fā)現(xiàn)的PDF文件中沒有其他惡意代碼,但是收集用戶數(shù)據(jù)可以幫助攻擊者對未來的攻擊進(jìn)行調(diào)整。
研究人員表示,他們在去年圣誕節(jié)發(fā)現(xiàn)這些文件時通知了谷歌。Chrome團(tuán)隊(duì)承認(rèn)了零日漏洞,并承諾在4月底進(jìn)行修復(fù)。
但研究人員決定在補(bǔ)丁發(fā)布之前公布該發(fā)現(xiàn),因?yàn)樗麄兿胱屖苡绊懙挠脩裟艿弥獫撛诘娘L(fēng)險。 研究人員還公布了發(fā)現(xiàn)的惡意PDF文件的樣本和感染指標(biāo)(IOCs)。
在補(bǔ)丁發(fā)布之前,EdgeSpot建議用戶使用桌面應(yīng)用程序查看PDF文件,或者在Chrome中打開PDF文檔時禁用互聯(lián)網(wǎng)連接。