Хакеры месяцами незаметно эксплуатировали уязвимость нулевого дня в Adobe Acrobat Reader, используя вредоносные PDF-файлы для сбора информации о целях и определения того, кого стоит скомпрометировать полностью.
Исследователь безопасности Хайфэй Ли, основатель системы обнаружения эксплойтов на основе песочницы EXPMON, сообщил, что кампания использует вредоносный PDF, который запускается сразу после открытия, работая даже на обновленных версиях Reader без каких-либо кликов, кроме просмотра файла.
Эксплойт задействует сильно обфусцированный JavaScript, который выполняется немедленно после открытия. Вместо того чтобы сразу нанести ущерб, он начинает извлекать информацию из машины с помощью встроенных API Acrobat, включая локальные файлы и системные данные, и отправляет ее на серверы под контролем злоумышленника.
Первый этап — это, по сути, разведка. Он собирает информацию об операционной системе, языковых настройках и путях к файлам, чтобы понять, куда он попал. Если система выглядит полезной, он загружает полезную нагрузку второго этапа и запускает ее внутри Reader. Исследователи полагают, что этот этап может привести к дальнейшей эскалации, вплоть до удаленного выполнения кода или даже выхода из песочницы.
“Такой механизм позволяет субъекту угрозы собирать информацию о пользователях, красть локальные данные, выполнять расширенный ‘фингерпринтинг’ и запускать будущие атаки”, — заявил Ли. “Если цель соответствует условиям злоумышленника, злоумышленник может доставить дополнительный эксплойт для достижения RCE или SBX”.
Иными словами, не все жертвы получают одинаковое обращение. Некоторые системы только профилируются, в то время как другие получают полезную нагрузку второго этапа, что указывает на более целенаправленный подход.
Есть и ранние намеки на то, кто могут быть эти цели. Другой исследователь, Gi7w0rm, обнаружил, что приманки, связанные с эксплойтом, содержат русскоязычный контент, ссылающийся на текущие события в нефтегазовом секторе страны. Это не доказывает авторство, но предполагает, что злоумышленники имели в виду конкретную аудиторию, а не действовали вслепую.
Что делает всю эту ситуацию чем-то большим, чем просто очередная ошибка в PDF, так это то, как долго она оставалась незамеченной. Ли указал на связанный образец, загруженный на VirusTotal 28 ноября 2025 года, что говорит о том, что кампания была активна не менее четырех месяцев до того, как ее обнаружили. Это относит активность к концу 2025 года, хотя стало известно о ней только в марте.
CVE по-прежнему нет, патча нет, а Adobe публично ничего не заявила и не ответила на вопросы The Register. Это оставляет пользователей незащищенными на данный момент, особенно если они привыкли открывать PDF-файлы из неизвестных источников. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
