Um explorador de dia zero altamente sofisticado e não corrigido está atacando ativamente usuários do Adobe Reader. Detectado pelo sistema de caça a ameaças EXPMON, este arquivo PDF malicioso é projetado para roubar dados locais sensíveis e realizar fingerprinting avançado do sistema.
O explorador funciona perfeitamente na versão mais recente do Adobe Reader. Ele não requer interação do usuário além de simplesmente abrir o documento malicioso.
O ataque começa quando uma vítima abre um PDF especialmente elaborado, inicialmente submetido a plataformas de análise de malware sob o nome de arquivo "yummy_adobe_exploit_uwu.pdf".
Descoberta e escopo
O malware conseguiu contornar ferramentas tradicionais de antivírus, marcando uma taxa de detecção inicial baixa em motores de varredura públicos. No entanto, ele acionou a análise comportamental avançada do EXPMON ao exibir atividades altamente suspeitas dentro do motor JavaScript do Acrobat.
Para mascarar sua intenção maliciosa, os atores da ameaça usaram codificação Base64 para incorporar o script principal dentro de objetos PDF ocultos.
Vetor e exploração
Uma vez desofuscado e aberto, o explorador abusa de uma vulnerabilidade não corrigida para executar comandos de programação privilegiados. Primeiro, ele usa uma interface de programação de aplicativos (API) interna, util.readFileIntoStream(), para contornar as proteções padrão de sandbox e ler arquivos arbitrários no computador local da vítima.
Em seguida, o malware usa a API RSS-addFeed() para transmitir silenciosamente as informações roubadas para um servidor remoto controlado pelo atacante.
Esses dados roubados incluem os detalhes exatos do sistema operacional, configurações de idioma, versão do Adobe Reader e o caminho do arquivo local do PDF.
Implicações de segurança
Os especialistas em segurança classificam isso como um ataque de fingerprinting avançado. Os atores da ameaça usam o roubo de dados inicial para avaliar se a máquina da vítima atende aos seus critérios de alvo específicos. Se o sistema for considerado um alvo valioso, o servidor do atacante envia dinamicamente payloads de JavaScript maliciosos adicionais.
O malware utiliza criptografia para decifrar esse payload de entrada, uma tática projetada especificamente para evadir ferramentas de detecção baseadas em rede.
Medidas de mitigação recomendadas
De acordo com o pesquisador justhaifei1, a vulnerabilidade foi divulgada de forma responsável à Adobe Security. Usuários individuais devem implementar as seguintes precauções imediatamente:
- Exercite extrema cautela: Não abra arquivos PDF recebidos de fontes desconhecidas, não confiáveis ou não verificadas.
- Bloqueie infraestrutura maliciosa: Administradores de rede devem monitorar e bloquear o tráfego de saída que se comunica com o endereço IP 169.40.2.68 na porta 45191.
- Monitore o tráfego de rede: Defensores devem inspecionar cuidadosamente o tráfego de rede HTTP e HTTPS em busca de atividade suspeita contendo a string "Adobe Synchronizer" dentro do campo User-Agent.
O que os CISOs devem fazer imediatamente
1. Bloqueie o IP 169.40.2.68 no firewall.
2. Atualize o Adobe Reader para a versão mais recente assim que o patch for lançado.
3. Implemente regras de detecção para o User-Agent "Adobe Synchronizer".
4. Eduque os usuários sobre os riscos de abrir PDFs de fontes desconhecidas.