Добавить в корзинуПозвонить
Найти в Дзене
Социальная инженерия в информационной безопасности
41 подписчик

PDF-приманка: Как 0-day уязвимость в Adobe Reader атакует российский нефтегазовый сектор

1 мин
Если вы думали, что для заражения компьютера нужно обязательно нажать на подозрительную ссылку или скачать .exe файл, у нас плохие новости. Апрель 2026 года принес нам критическую уязвимость в Adobe Acrobat Reader (CVE-2026-34621), которая позволяет хакерам захватить контроль над системой, как только вы просто открыли PDF-документ.
Уязвимость относится к классу Prototype Pollution (CWE-1321), внутри Adobe Reader есть ошибка в обработке JavaScript-объектов. Хакеры встраивают в PDF-файл вредоносный скрипт, который «отравляет» логику программы и заставляет её выполнять команды злоумышленника.
Исследователи из EXPMON выяснили, что эксплойт работает в несколько этапов:
- Сбор данных (Fingerprinting): Скрипт тайно собирает информацию о вашем ПК: версию Windows, язык системы и точный путь к файлу.
- Кража файлов: Используя скрытую функцию util.readFileIntoStream(), вредонос может читать любые локальные файлы, к которым у вас есть доступ, и отправлять их на сервер хакера через функцию RSS.

Если вы думали, что для заражения компьютера нужно обязательно нажать на подозрительную ссылку или скачать .exe файл, у нас плохие новости. Апрель 2026 года принес нам критическую уязвимость в Adobe Acrobat Reader (CVE-2026-34621), которая позволяет хакерам захватить контроль над системой, как только вы просто открыли PDF-документ.

Уязвимость относится к классу Prototype Pollution (CWE-1321), внутри Adobe Reader есть ошибка в обработке JavaScript-объектов. Хакеры встраивают в PDF-файл вредоносный скрипт, который «отравляет» логику программы и заставляет её выполнять команды злоумышленника.

Исследователи из EXPMON выяснили, что эксплойт работает в несколько этапов:

- Сбор данных (Fingerprinting): Скрипт тайно собирает информацию о вашем ПК: версию Windows, язык системы и точный путь к файлу.

- Кража файлов: Используя скрытую функцию util.readFileIntoStream(), вредонос может читать любые локальные файлы, к которым у вас есть доступ, и отправлять их на сервер хакера через функцию RSS.addFeed().

- Полный захват (RCE): Если система «подходит» атакующим, они подгружают второй этап вируса для полного удаленного выполнения кода и выхода из «песочницы» программы.


Эта уязвимость — не теоретическая. Эксперты по безопасности обнаружили вредоносные PDF-файлы на русском языке.

Документы маскируются под официальные уведомления о сбоях в поставках газа и планах экстренного реагирования. Судя по контенту, атаки направлены на государственные организации и компании нефтегазового сектора России. Первые следы этой кампании были найдены еще в ноябре 2025 года, то есть хакеры использовали эту «дыру» скрытно почти полгода.

Adobe уже выпустила экстренный патч. Проверьте свою версию. Исправленные сборки: 26.001.21411 (Acrobat DC) и 24.001.30362 (Acrobat 2024).

Специалисты рекомендуют блокировать исходящий трафик, в котором в поле User-Agent упоминается Adobe Synchronizer.

Американское агентство CISA уже внесло эту уязвимость в список обязательных к исправлению (KEV catalog). Не ждите — обновите Adobe Reader прямо сейчас, пока «газовый отчет» в почте не превратил ваш компьютер в часть ботнета.

Источники:

Александр Леонов (avleonov.ru) — разбор CVE-2026-34621.
Help Net Security — детали экстренного патча Adobe.
SOCRadar — анализ Prototype Pollution в Adobe Reader.
Отчеты исследователей Haifei Li (EXPMON) и Giuseppe Massaro.

Гаджеты и электроника
5,73 млн интересуются