Исследователи обнаружили активную эксплуатацию ранее неизвестной уязвимости нулевого дня в Adobe Reader. Атаки проводятся с помощью специально сформированных PDF-файлов и продолжаются как минимум несколько месяцев.
Уязвимость затрагивает актуальные версии приложения и на момент обнаружения оставалась не исправленной. Эксплойт срабатывает при простом открытии документа, без дополнительных действий пользователя.
Механика атаки через PDF
Вредоносный PDF содержит обфусцированный JavaScript, встроенный в структуру документа. После открытия он выполняется внутри среды Reader и использует внутренние API приложения для доступа к данным системы.
Атака использует два ключевых API:
util.readFileIntoStream - позволяет читать локальные файлы на устройстве
RSS.addFeed - используется для отправки данных на удалённый сервер и получения дополнительного кода
Через эти механизмы злоумышленники могут извлекать конфиденциальную информацию, включая системные файлы и параметры среды.
Сбор данных и дальнейшая эксплуатация
Эксплойт выполняет первичное профилирование системы. Он собирает информацию о версии ОС, языке, установленной версии Reader и путях к файлам. Эти данные отправляются на сервер атакующих.
На основе полученной информации может быть загружена следующая стадия атаки. Исследователи отмечают возможность:
удалённого выполнения кода (RCE)
выхода из песочницы (sandbox escape)
Это потенциально даёт полный контроль над системой жертвы.
Длительность и характер атак
По данным анализа, вредоносные образцы начали появляться как минимум в конце 2025 года, что указывает на длительную эксплуатацию уязвимости.
Атаки описываются как высокоточные и включают элементы fingerprinting, позволяющие выбирать наиболее ценные цели.
Отдельно отмечается использование приманок на русском языке, связанных с нефтегазовой отраслью, что указывает на таргетированные кампании.
Текущий статус и рекомендации
Уязвимость была передана разработчику, но на момент публикации исправление отсутствует.
До выхода патча рекомендуется избегать открытия PDF-файлов из недоверенных источников. Также возможно снижение риска через фильтрацию сетевого трафика, связанного с характерными признаками атаки.
Источник: HN