自2018年12月下旬以来，安全格式EdgeSpot已经在野外检测到多个恶意PDF样本。该公司本周表示，这些恶意PDF文档利用谷歌Chrome浏览器零日漏洞进行攻击。一旦用户以Chrome内置PDF查看器中打开PDF文件，该漏洞便允许攻击者收集该用户设备上的数据。

截至目前，对恶意样本的检测率很低——它们被大多数防病毒软件标记为“干净”，只有2-3种产品检测到它们。这也意味着这种威胁还没有得到足够的重视。

VirusTotal上的恶意PDF样本检测结果

EdgeSpot发现了这些恶意PDF文件会与一个远程域名保持联系，将设备的信息泄露出去，包括IP地址、操作系统版本、Chrome版本以及PDF文件在用户设备上的完整路径。

研究人员认为此类行为仅限于以Chrome浏览器打开PDF文件，因为当他们尝试在桌面PDF查看应用程序（如Adobe Reader等）中打开相同的PDF文件时，这种远程通信行为并未发生。

该公司表示，它发现了两组不同的恶意PDF文件都利用了此Chrome零日漏洞，其中一组PDF文件在2017年10月左右分发，而第二组则是在2018年9月。两组恶意PDF文件返回用户数据的远程域名并不相同，分别将用户数据返回至readnotify.com和zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net。

其中通过追踪readnotify.com的IP地址91.103.1.84可以发现，该IP已被标记为与恶意软件活动相关。

通过在后台捕获流量，研究人员观察到了一些通信流量，并且在没有用户交互的情况下进行的。换句话说，数据是在未经用户批准的情况下以静默方式发送的。通信流量是以HTTP POST数据包的形式，如以下Wireshark窗口所示：

研究人员分析了获取的PDF样本，发现在stream-1中存在一些可疑的代码：

在EdgeSpot发现的PDF文件中没有找到其他恶意代码。但是，通过收集那些以Chrome浏览器打开PDF文件的用户的设备数据，可以帮助攻击者调整未来的攻击模式和方向。如此说来，此次攻击更像是网络犯罪分子为未来更大规模攻击活动所做的一次“市场调研”。

研究人员表示，他们在去年圣诞节期间首次发现了这些恶意PDF文件，并通知谷歌公司。谷歌Chrome团队承认这一零日漏洞的存在，并承诺在将在4月底修复。

“我们决定在补丁发布之前公布我们的发现，因为这样可以让潜在受影响的用户尽早获得风险通知/警告以防攻击，”研究人员昨天在一篇博文中说到。该博文还公布了EdgeSpot发现的恶意PDF文件的样本和妥协指标（IOC）。

此外，EdgeSpot建议用户在补丁发布之前，使用桌面应用程序查看PDF文件或在Chrome浏览器中打开PDF文档时禁用网络连接。

本周早些时候，其他安全研究人员在另一项调查实验中，也研究了PDF文件的安全性。他们发现了多个漏洞，21个桌面PDF查看应用程序（参与实验的共有22个）和7个在线PDF查看器的数字签名服务中有5个伪造签名。由此可见，作为一种主流的文档格式，PDF已被越来越多的应用于网络攻击。