Исследователи из EXPMON обнаружили активную эксплуатацию ранее неизвестной уязвимости нулевого дня в Adobe Reader. Атаки проводятся с использованием специально подготовленных PDF-файлов и, по имеющимся данным, продолжаются как минимум с декабря 2025 года. Уязвимость затрагивает даже последние версии программы и на момент публикации остается пока не исправленной.
Атака строится на классической, но по-прежнему эффективной схеме: пользователю отправляется файл, замаскированный под легитимный документ — например, счет или деловое письмо. После открытия PDF внутри Reader запускается обфусцированный JavaScript, который начинает сбор информации о системе и инициирует взаимодействие с удаленной инфраструктурой злоумышленников.
Ключевая особенность эксплойта — использование привилегированных API Acrobat, позволяющих частично обходить встроенные механизмы защиты, включая песочницу. Это открывает возможности для фингерпринтинга системы, извлечения локальных данных и подготовки более сложных атак, вплоть до удаленного выполнения кода и дальнейшего закрепления в системе.
Интересная деталь: часть вредоносных документов содержит русскоязычные приманки и отсылки к нефтегазовой отрасли, что может указывать на таргетированные атаки. При этом текущая стадия кампании, судя по анализу, сосредоточена скорее на разведке и сборе данных, чем на немедленном нанесении ущерба.
Ситуация в очередной раз демонстрирует, что PDF остается недооцененным вектором атак: сложность формата, поддержка скриптов и богатый набор API делают его удобной платформой для эксплуатации. До выхода патча пользователям рекомендуется с осторожностью открывать документы из недоверенных источников, а специалистам по безопасности — уделить внимание аномальной активности, связанной с Adobe Reader.