Hackers roban información de usuarios explotando una vulnerabilidad día cero en Chrome

Estos archivos maliciosos permiten la recolección de datos de las víctimas

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el descubrimiento de una campaña maliciosa que utiliza documentos PDF para explotar una vulnerabilidad día cero en la herramienta para visualizar estos archivos en Google Chrome para extraer información de los usuarios.

Una firma de ciberseguridad descubrió estos documentos PDF, afirmando que estos establecen contacto con un dominio remoto que almacena la información extraída, como la dirección IP de la víctima, versión del sistema operativo, versión del navegador y ruta del PDF almacenado en el equipo.

Los especialistas en seguridad en redes afirman que el ataque sólo se presenta en Chrome, pues intentaron abrir estos documentos PDF en herramientas como Adobe Reader y no se presentó la conexión entre el dominio remoto y el archivo. Acorde a los expertos, hay dos conjuntos distintos de PDF explotando esta vulnerabilidad, se cree que estos archivos comenzaron a circular desde octubre de 2017.

Durante la investigación se descubrió que el primer grupo de archivos PDF maliciosos ha enviado datos del usuario a un dominio registrado como “readnotify.com”, en tanto que, acorde a los investigadores, el segundo grupo de archivos envió la información a la dirección “zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net”.

Aunque los expertos en seguridad en redes no encontraron código malicioso adicional en estos archivos, destacan que esta campaña de recopilación de información podría ser útil para detallar los perfiles de potenciales víctimas de futuros ciberataques.

Sin embargo, el experto en seguridad Patrick Wardle menciona que estos documentos no fueron diseñados como contenido malicioso, a pesar de que explotan una vulnerabilidad en Chrome. El experto afirma que estos archivos fueron ensamblados usando un servicio llamado PDF Tracking, que permite rastrear la actividad relacionada con un PDF, además, esta característica existe desde 2010.

Hasta el momento esto es todo lo que se conoce sobre estos archivos PDF. No se sabe si fueron diseñados por algún grupo de hackers, si son parte de una serie de pruebas, o si fueron pensados con un propósito legítimo.

Los expertos que descubrieron estos archivos mencionan que notificaron a Google sobre la vulnerabilidad a finales del año pasado. Posteriormente la compañía reconoció que se trataba de una vulnerabilidad día cero, y se comprometió a corregirla a más tardar en abril de 2019.

“Decidimos revelar nuestra investigación antes de que la actualización sea lanzada porque consideramos que es necesario que los posibles afectados estén al tanto del riesgo potencial, además aún faltan un par de meses para que la vulnerabilidad sea corregida, por lo que muchos usuarios aún se encuentran expuestos”, agregaron los expertos.

Los especialistas recomiendan usar herramientas como Adobe Reader para visualizar archivos PDF, además de interrumpir la conexión a Internet mientras se está visualizando un PDF en Google Chrome como medidas para mitigar riesgos.