黑客正在使用复杂0day漏洞积极攻击Adobe Reader用户

一个高度复杂的未修复的0day漏洞利用正在积极针对Adobe Reader用户。该恶意PDF文件被EXPMON威胁狩猎系统检测到，旨在窃取敏感的本地数据并执行高级系统指纹识别。该漏洞利用在最新版本的Adobe Reader上运行完美。只需打开文件即可触发，无需用户进一步操作。

一种高度复杂且尚未修复的0day漏洞利用正在积极攻击Adobe Reader用户。该恶意PDF文件已被EXPMON威胁猎捕系统检测到，其目的是窃取敏感的本地数据并执行高级系统指纹识别。

该漏洞利用程序在最新版本的 Adobe Reader 上完美运行。用户只需打开恶意文档即可，无需任何其他操作。

攻击始于受害者打开一个特制的 PDF 文件，该文件最初以文件名“yummy_adobe_exploit_uwu.pdf”提交给恶意软件分析平台。

该恶意软件成功绕过了传统的防病毒工具，在公共扫描引擎上的初始检测率很低。

然而，它在 Acrobat JavaScript 引擎中表现出高度可疑的活动，从而触发了 EXPMON 的高级行为分析功能。

为了掩盖其恶意意图，攻击者使用Base64 编码将核心脚本嵌入到隐藏的 PDF 对象中。

一旦解密并打开，该漏洞利用程序就会利用未修补的漏洞来执行特权编程命令。

首先，它使用内部应用程序编程接口 (API) util.readFileIntoStream 来绕过标准沙箱保护，并读取受害者本地计算机上的任意文件。

接下来，恶意软件使用 RSS-addFeed API 将窃取的信息静默地传输到远程的、攻击者控制的服务器。

安全专家将此归类为高级指纹识别攻击。攻击者利用初始数据窃取来评估受害者的计算机是否符合其特定的目标标准。

如果系统被认定为有价值的目标，攻击者的服务器会动态地发送额外的恶意 JavaScript 有效载荷。

该恶意软件利用加密技术解密传入的有效载荷，这种策略专门用于规避基于网络的检测工具。

在受控测试中，研究人员证实，这种辅助有效载荷机制功能齐全，能够发起额外的攻击，包括远程代码执行 (RCE) 和沙箱逃逸 (SBX)。

这意味着攻击者理论上可以绕过所有剩余的安全边界，完全控制被入侵的机器。

目前，这仍然是一个0day威胁，这意味着 Adobe 没有提供官方补丁来阻止初始数据窃取。

据研究员justhaifei1称，该漏洞已负责任地披露给Adobe Security，个人用户应立即采取以下预防措施：

阻止恶意基础设施：网络管理员应监控并阻止与 IP 地址 169.40.2.68 在端口 45191 上通信的出站流量。

监控网络流量：防御者应仔细检查 HTTP 和 HTTPS 网络流量，查找 User-Agent 字段中包含“Adobe Synchronizer”字符串的可疑活动。