【安全资讯】Adobe Reader零日漏洞遭利用，恶意PDF文件可静默窃取用户信息

概要：

网络安全研究人员近期发现一个针对Adobe Acrobat Reader的零日漏洞已被黑客利用数月。攻击者通过特制的PDF文件，在用户毫无察觉的情况下对目标系统进行信息收集和指纹识别，并据此决定是否部署更具破坏性的第二阶段攻击载荷。这一高度隐蔽且具有针对性的攻击方式，对依赖PDF文档的政府、能源等多个关键行业构成了严重威胁。

主要内容：

安全研究机构EXPMON的创始人Haifei Li发现，此次攻击利用了一个尚未被Adobe官方修补的零日漏洞。攻击者发送包含恶意JavaScript代码的PDF文件，该代码在文件被打开时自动执行，无需用户进行任何点击操作。代码经过高度混淆，首先利用Acrobat的内置API从受害机器上收集操作系统信息、语言设置、文件路径等数据，并将其回传至攻击者控制的服务器。

这一初步侦察阶段旨在对目标进行“指纹识别”。如果系统信息符合攻击者的预设条件（例如特定的行业或地区），恶意PDF便会从远程服务器拉取并执行第二阶段的攻击载荷。研究人员指出，第二阶段载荷可能实现远程代码执行（RCE）甚至尝试逃逸沙箱环境，从而完全控制受害主机。

攻击表现出明显的针对性。另一位研究员Gi7w0rm发现，与此次漏洞利用相关的诱饵文档包含俄语内容，并提及俄罗斯石油和天然气行业的近期事件。这暗示攻击者可能将能源行业或相关地区的实体作为主要目标，而非进行无差别攻击。

令人担忧的是，此漏洞可能已被利用数月而未被察觉。Li指出，一个相关样本早在2025年11月28日就已上传至VirusTotal，意味着攻击活动在2026年3月被曝光前已活跃至少四个月。截至目前，Adobe尚未发布相关安全公告或补丁，也未回应媒体置评请求，大量用户仍处于风险之中。