Se ha encontrado una campaña que utiliza documentos PDF para explotar una vulnerabilidad 0-Day en la herramienta para visualizar este tipo de archivos en Google Chrome para extraer información de los usuarios.
EdgeSpot, un servicio online gratuito para la detección de ataques, ha sido el encargado de dar la voz de alarma. En un informe publicado a través de su blog, la compañía afirma que desde finales de diciembre de 2018 su servicio ha detectado en la naturaleza múltiples muestras de archivos PDF que explotan una vulnerabilidad Zero-Day de Chrome.
El ataque sólo es posible en Chrome, pues intentaron abrir estos documentos PDF en herramientas como Adobe Reader y no se presentó la conexión entre el dominio remoto y el archivo. Acorde a los expertos, hay dos conjuntos distintos de PDF explotando esta vulnerabilidad, se cree que estos archivos comenzaron a circular desde octubre de 2017. De acuerdo con el informe, al utilizar Chrome para visualizar un PDF malicioso, el archivo envía a los atacantes de manera silenciosa en segundo plano la dirección IP pública del equipo, el sistema operativo, la versión del navegador y la ruta completa del documento en el ordenador, entre otros datos.
Durante la investigación se descubrió que el primer grupo de archivos PDF maliciosos ha enviado datos del usuario a un dominio registrado como “readnotify[.]com”, un servicio de tracking de documentos PDF. El segundo grupo de archivos envió la información a la dirección “zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator[.]net”.
- https://www.virustotal.com/#/file/0cc1234c981806dd22e0e98e4be002e8df8d285b055e7f891ff8e91af59aee1e/detection
- https://www.virustotal.com/#/file/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/detection (First submission 2017-10-01, filename: “honduras-bginfo.pdf”)
- https://edgespot.io/analysis/2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43/
Sin embargo, el experto en seguridad Patrick Wardle menciona que estos documentos no fueron diseñados para contener contenido malicioso, a pesar de que explotan una vulnerabilidad en Chrome. El experto afirma que estos archivos fueron ensamblados usando un servicio llamado PDF Tracking, que permite rastrear la actividad relacionada con un PDF, además, esta característica existe desde 2010.
Los expertos que descubrieron estos archivos mencionan que notificaron a Google sobre la vulnerabilidad a finales del año pasado. Posteriormente la compañía reconoció que se trataba de una vulnerabilidad, y se comprometió a corregirla a más tardar en abril de 2019.
“Decidimos revelar nuestra investigación antes de que la actualización sea lanzada porque consideramos que es necesario que los posibles afectados estén al tanto del riesgo potencial, además aún faltan un par de meses para que la vulnerabilidad sea corregida, por lo que muchos usuarios aún se encuentran expuestos”, agregaron los expertos.
Los especialistas recomiendan usar herramientas otras herramientas visualizar archivos PDF, además de interrumpir la conexión a Internet mientras se está visualizando un PDF en Google Chrome como medidas para mitigar riesgos.