Злоумышленники, стоящие за использованием хакерского инструментария Zeus, начали эксплуатацию непропатченной уязвимости в файлах PDF для установки на компьютеры пользователей вредоносного ПО.

Согласно сообщению экспертов M86 Security Labs, распространяемые мошенниками с помощью электронных писем файлы PDF якобы представляют собой счета-фактуры. Если пользователь откроет такой файл и кликнет по кнопкам в появляющихся друг за другом диалоговых окнах, он либо запустит (в случае с программами Adobe), либо автоматически сохранит на жестком диске (в случае с Foxit Reader) вредоносный файл, делающий ПК частью ботнета.

Впрочем, эксплоит, использующий открытую экспертом Дидье Стивенсом структурную уязвимость в стандарте PDF, явно сделан на скорую руку. Во первых, он требует наличия включенного JavaScript, а во-вторых, не подменяет текст предупреждения о запуске файла, появляющегося в одном из диалоговых окон. Тем не менее, он представляет собой образец реальной атаки, использующей найденную Стивенсом брешь.

В Adobe уже сообщили о своем намерении внести изменения в Reader и Acrobat, чтобы решить проблему, пока же пользователи этих программ могут самостоятельно минимизировать риск заражения, кликнув по вкладке Trust Manager в левой части панели предпочтений и сняв пометку с пункта "Allow opening of non-PDF file attachments with external applications”.