Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Podatność w przeglądaniu niebezpiecznych PDF w Google Chrome

Kapitan Hack / Cybernews / Podatność w przeglądaniu niebezpiecznych PDF w Google Chrome

O złośliwym oprogramowaniu ukrytym w pliku PDF pisaliśmy już tutaj oraz tutaj.
Teraz, specjaliści z Edgespot odkryli i opisali nowy exploit ukryty w pliku PDF, który wykorzystując podatność zero-day w przeglądarce Google Chrome pozwala na śledzenie użytkowników. Malware ten jest dobrze ukryty. Po otwarciu PDFa w popularnym Adobe Reader nic podejrzanego się nie dzieje. Jednak wystarczy, że użytkownik otworzy złośliwego PDFa w Chrome, a ukryty w nim kod zostanie wykonany i nasze dane zaczną być wysyłane do zewnętrznej domeny. Oczywiście również nie zostaniemy powiadomieni przy tym żadnym komunikatem.

Autor: 2 min czytania
Treść fałszywego, złośliwego PDF

Po analizie ruchu sieciowego zauważymy, że nasz host wykonuje połączenie „calling home” do domeny readnotify.com bez żadnej wymaganej interakcji z naszej strony. Domena ta jest wskazana jako podejrzana na portalu VirusTotal.

Za pomocą HTTP POST wysyłane są na zewnątrz między innymi takie informacje jak:

  • publiczny adres IP użytkownika
  • wersja systemu operacyjnego oraz niektórych aplikacji systemowych
  • pełna ścieżka z lokalizacją pliku PDF

Nie są to dane wrażliwe ani krytyczne informacje systemowe, jak na przykład hashe NTLM, jednak z pewnością są pomocne w przygotowaniu ukierunkowanego ataku na nasz komputer.

Złośliwy kod w pliku PDF jest obfuskowanym kodem Javascript, w którym wywoływana jest funkcja „submitForm()”. Wyniki po analizie pliku przez VirusTotal przedstawiają się następująco:

Wskazania VirusTotal – 14/58 silników AV uznaje, że plik PDF to malware

Po zgłoszeniu podatności Google poinformowało, że nie jest ona krytyczna i zostanie załatana dopiero razem z kwietniową aktualizacją bezpieczeństwa. W związku z tym zalecamy ostrożne przeglądanie dokumentów PDF, najlepiej w innych programach lub z ograniczonym dostępem do Internetu.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...
5 min czytania 27 paź 2025 08:00
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu...
5 min czytania 31 paź 2025 08:00
Manipulacja polityką audytu w Windows jako pierwszy krok ataku

Manipulacja polityką audytu w Windows jako pierwszy krok ataku

W systemach Windows narzędzie Auditpol.exe służy do wyświetlania i konfigurowania polityki audytu – czyli kontroli, które akcje, takie jak logowanie, użycie uprawnień, dostęp do obiektów czy zmiany pol...
5 min czytania 30 paź 2025 08:59
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Uwaga, programiści! Złośliwe Pakiety NPM pobrano już 100 000 razy. Opis dwóch kampanii szpiegowskich

Uwaga, programiści! Złośliwe Pakiety NPM pobrano już 100 000 razy. Opis dwóch kampanii szpiegowskich

W ciągu ostatnich czterech miesięcy ponad 130 złośliwych pakietów NPM, wdrażających programy wykradające informacje, zostało pobranych łącznie około 100 000 razy. Czym jest NPM? NPM jest menad...
6 min czytania 3 lis 2025 07:48
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa
Manipulacja polityką audytu w Windows jako pierwszy krok ataku
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Uwaga, programiści! Złośliwe Pakiety NPM pobrano już 100 000 razy. Opis dwóch kampanii szpiegowskich
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.