В декабре 2018 года, команда по поиску вредоносных программных кодов EdgeSpot обнаружила довольно интересные образцы PDF файлов. Они применяют уязвимость Google Chrome для сбора личной информации пользователей использующих браузер в качестве средства просмотра.
Открытие и просмотр документа, с первого взгляда, никаких подозрений не вызывает, но в это время отправляются данные о вашем IP, ОС и путь к файлу на вашем компьютере.
Улавливая трафик в фоновом режиме, мы заметили, что был сделан некоторый исходящий запрос, и данные были отправлены в домен « readnotify.com », в то время как нет никакого взаимодействия с пользователем, иными словами, данные были отправлены без уведомления пользователя...
Месяцем ранее, в ноябре, так же был обнаружен встроенный код в PDF-файл, который использовал уязвимости Adobe Reader и вызывал утечку NTLM данных. Позже, 13 ноября, Adobe выпустила обновление, устранив недочеты.
В данном случае, Google не торопится исправлять ситуацию, обещая выпустить исправление лишь к концу апреля.
А недавно EdgeSpot обнаружил ещё один вид кода.
Он использует проблему Chrome для отслеживания пользователя, если PDF открыт в нем(блок-1), также использует уязвимость CVE-2018-4993, пытаясь украсть NTLM пользователя, если PDF открыт в уязвимом Adobe Reader (это блок-3), блок-2 оставляет нам интересную загадку.
На то время, пока Google устраняет ошибку, нам ничего не остается, как использовать сторонние программы для работы с PDF (лучше Adobe Reader), и заблокировать на компьютерах IP адрес - 52.210.81.127.
Если вам понравилась статья, то ставьте "палец вверх", делитесь в соц-сетях или ПОДПИСЫВАЙТЕСЬ - это лучший способ отблагодарить авторов. Спасибо :)