Злоумышленники, стоящие за использованием хакерского инструментария Zeus,
начали эксплуатацию непропатченной уязвимости в файлах PDF для установки на
компьютеры пользователей вредоносного ПО.
Согласно
сообщению экспертов M86 Security Labs, распространяемые мошенниками с
помощью электронных писем файлы PDF якобы представляют собой счета-фактуры. Если
пользователь откроет такой файл и кликнет по кнопкам в появляющихся друг за
другом диалоговых окнах, он либо запустит (в случае с программами Adobe), либо
автоматически сохранит на жестком диске (в случае с Foxit Reader) вредоносный
файл, делающий ПК частью ботнета.
Впрочем, эксплоит, использующий
открытую экспертом Дидье
Стивенсом структурную уязвимость в стандарте PDF, явно сделан на скорую
руку. Во первых, он требует наличия включенного JavaScript, а во-вторых, не
подменяет текст предупреждения о запуске файла, появляющегося в одном из
диалоговых окон. Тем не менее, он представляет собой образец реальной атаки,
использующей найденную Стивенсом брешь.
В Adobe уже сообщили о своем намерении внести изменения в Reader и Acrobat,
чтобы решить проблему, пока же пользователи этих программ могут самостоятельно
минимизировать риск заражения, кликнув по вкладке Trust Manager в левой части
панели предпочтений и сняв пометку с пункта “Allow opening of non-PDF file
attachments with external applications”.
