Письмо пришло с утра. Тема: «Счёт на оплату».
Во вложении — PDF. Называется «Invoice540.pdf». Выглядит как обычный деловой документ. Ничего подозрительного.
Вы открываете.
В эту секунду файл уже собирает данные о вашей системе и отправляет их на сервер злоумышленников. Вы не нажимали ни одной кнопки. Не соглашались ни с чем. Просто открыли документ.
Именно этот файл — под именем Invoice540.pdf — исследователи обнаружили в ноябре 2025 года. Атака работала в самых новых версиях Adobe Reader. Без предупреждений. Без всплывающих окон. Без запроса разрешений.
Уязвимость получила номер CVE-2026-34621 и оценку 9,6 из 10 по шкале критичности. Adobe закрыла её патчем только в апреле 2026-го. Атаки шли с декабря 2025-го.
Четыре с половиной месяца — без защиты.
Почему PDF опаснее, чем кажется
PDF воспринимается как безопасный формат. Не программа. Не архив. Просто документ.
Это заблуждение.
Стандарт PDF позволяет встраивать в файл JavaScript — полноценный язык программирования. Именно он может запускаться автоматически при открытии документа. Без каких-либо действий с вашей стороны.
Кроме того: PDF может содержать встроенные ссылки, кнопки, формы. Нажав на что угодно внутри документа, вы можете запустить загрузку вредоносного файла или перейти на фишинговую страницу.
И наконец — эксплойты. Ошибки в самой программе просмотра PDF. Специально сформированный файл вызывает сбой в Adobe Reader или другом просмотрщике — и через этот сбой получает доступ к системе.
Три разных механики. Одна упаковка — безобидный PDF.
Как работала атака декабря 2025 — апреля 2026
Жертва получает PDF. Замаскирован под счёт, деловое письмо, договор. Открывает в Adobe Reader.
Файл автоматически запускает скрытый JavaScript. Тот обращается к привилегированным API Adobe Reader — функциям, которые обычно доступны только доверенным программам. Через них — собирает данные о системе: версия ОС, установленные программы, конфигурация сети.
Всё это уходит на удалённый сервер злоумышленников. Происходит за секунды. Пока вы смотрите на документ.
Дальше — если система подходит под критерии атакующих — приходит следующая «посылка». Уже с вредоносной программой.
Особенность этой атаки: эксплойт обходил встроенную песочницу Adobe Reader. Песочница — защитный механизм, который изолирует программу от системы. Этот эксплойт её обходил.
Вредоносные документы содержали приманки на русском языке. Ссылки на актуальные события в российском нефтегазовом секторе. Целью были конкретные люди в конкретных компаниях.
Схема через Foxit Reader — для тех, кто «умнее»
Часть людей специально не пользуется Adobe Reader — считают его уязвимым. Используют альтернативы. Например, Foxit PDF Reader. Более 700 миллионов пользователей по всему миру.
Мошенники знают об этом.
В Foxit Reader при открытии некоторых PDF появляется всплывающее предупреждение с вопросом. Два варианта ответа. Вредоносный вариант — по умолчанию. Нажимаете Enter, не читая — разрешаете выполнение вредоносной команды.
Большинство людей нажимают Enter не читая. Всегда.
Под каким предлогом присылают
Счёт на оплату. Договор. Акт сверки. Коммерческое предложение. Резюме кандидата. Уведомление от банка. Судебная повестка. Накладная.
Всё это — документы, которые люди открывают не задумываясь. Именно это и нужно атакующим.
Особенно эффективны письма от имени реальных компаний. Логотип. Правильное оформление. Реальный ИНН в подписи. Всё это можно скопировать за пять минут.
Адрес отправителя легко подделать или зарегистрировать похожий домен — documents@sberbank-docs.ru вместо sberbank.ru.
Как защититься
Первое. Обновите Adobe Reader прямо сейчас. Уязвимость CVE-2026-34621 с оценкой 9,6 закрыта патчем апреля 2026-го. Если не обновились — вы под угрозой.
Второе. Отключите JavaScript в PDF-просмотрщике. В Adobe Reader: Правка → Настройки → JavaScript → снять галочку «Включить Acrobat JavaScript». Большинству людей этот JavaScript никогда не нужен. Атакующим — очень нужен.
Третье. Не открывайте PDF из письма напрямую. Сохраните файл на диск. Проверьте антивирусом. Только потом открывайте.
Четвёртое. Проверяйте отправителя. Настоящий домен — sberbank.ru. Поддельный — sberbank-docs.ru или sberbankk.ru. Разница в одной букве. Именно на это и расчёт.
Пятое. Все всплывающие окна в PDF-просмотрщике читайте. Если появляется вопрос — не жмите Enter автоматически. Прочитайте что написано.
Шестое. Если ждёте счёт или договор — уточните у отправителя по телефону, что он действительно отправил файл. Прежде чем открывать.
PDF — не документ. Это программа в обёртке документа. Относитесь к нему так же, как к любому другому файлу из интернета.
Получали подозрительные PDF? Напишите в комментариях. И перешлите статью коллегам — особенно тем, кто работает с деловой перепиской.