ИБ-исследователь Хайфэй Ли (Haifei Li) обнаружил уязвимость нулевого дня в Adobe Reader, которую злоумышленники активно эксплуатируют как минимум с декабря 2025 года. Патча для этой проблемы до сих пор нет, поэтому открывать файлы PDF следует с осторожностью.
Ли — основатель платформы EXPMON, специализирующейся на обнаружении эксплоитов, и именно его система первой зафиксировала подозрительный файл PDF. Также за плечами исследователя два десятилетия работы в Fortinet, Microsoft, McAfee и Check Point, а также длинный список найденных уязвимостей в продуктах крупнейших вендоров.
Специалист рассказывает, что вредоносный документ с именем «Invoice540.pdf» впервые появился на VirusTotal 28 ноября 2025 года, и второй образец загрузили туда 23 марта 2026 года. По описанию Ли, это был «высокосложный эксплоит для фингерпринтинга». При этом уязвимость работает даже в новейшей версии Adobe Reader, и для ее эксплуатации не требует каких-либо дополнительных действий со стороны жертвы (помимо открытия файла).
Атака работает следующим образом: файл PDF автоматически запускает обфусцированный JavaScript, который через привилегированные API Acrobat (util.readFileIntoStream и RSS.addFeed) собирает данные о системе и передает их на удаленный сервер, принадлежащий злоумышленникам (169.40.2[.]68:45191). Параллельно с этим с сервера могут подгружаться дополнительные JS-скрипты для выполнения.
«Эксплоит позволяет злоумышленнику не только собирать и похищать локальные данные, но и потенциально запускать последующие атаки с удаленным выполнением кода и побегом из песочницы, что может привести к полной компрометации системы», — предупреждает Ли.
Воспроизвести всю цепочку атаки целиком специалисту не удалось: сервер атакующих не вернул пейлоад для следующего этапа, так как тестовая среда, вероятно, не прошла фингерпринтинг-проверку. Тем не менее исследователь счел, что факт активной эксплуатации незакрытой уязвимости в популярном ПО — это достаточный повод для немедленного раскрытия информации о проблеме.
Аналитик по угрозам Gi7w0rm, также изучавший образцы, установил, что вредоносные файлы PDF содержали приманки на русском языке и ссылались на актуальные события в нефтегазовом секторе России. Это указывает на целенаправленную атаку с элементами социальной инженерии, когда жертв вынуждают открыть документ, маскируя его под отраслевой материал.
До выхода патча Ли рекомендует не открывать файлы PDF из непроверенных источников. Сетевым защитникам он советует настроить мониторинг и блокировку HTTP/HTTPS-трафика со строкой Adobe Synchronizer в заголовке User-Agent — именно так малварь «представляется» при обращении к серверу.
Разработчиков Adobe уведомили о проблеме примерно 7 апреля, но официального ответа и комментариев от компании пока не поступало.
