La tecnica d’attacco sfrutta documenti PDF che incorporano JavaScript pesantemente offuscato all’interno di elementi di form. Al momento dell’apertura il codice viene decodificato a runtime e mette in azione una logica pensata per aggirare l’isolamento del processo: sfrutta una falla nel motore JavaScript di Adobe Reader per invocare API con privilegi elevati dall’interno della sandbox. In questo contesto il termine sandbox indica l’ambiente limitato in cui dovrebbe girare il lettore PDF, mentre il zero-day è la vulnerabilità non ancora corretta pubblicamente. L’attacco è demo-friendly per l’autore: basta un doppio clic sul documento per scatenare la catena.
Come avviene il fingerprinting e cosa viene raccolto
Una volta attivato, lo script all’interno del PDF costruisce un profilo dettagliato del sistema che include impostazioni di lingua, versione di Adobe Reader, versione completa del sistema operativo e il percorso locale del file PDF aperto.
Questa raccolta costituisce il fingerprint che serve a filtrare e selezionare quali macchine meritano il passo successivo. Il payload sfrutta la API privilegiata util.readFileIntoStream per leggere file accessibili al processo sandboxed, compresi file nelle directory di sistema come Windows\system32. In laboratorio i ricercatori di CyberPress hanno dimostrato che l’exploit può leggere ed esfiltrare file da queste cartelle verso il server dell’attaccante anche senza un secondo stadio completo.
Comunicazione con il server e logica di selezione
Per dialogare con l’infrastruttura di comando e controllo l’exploit abusa della API RSS.addFeed in contesto privilegiato. Questa API viene usata sia per inviare i dati raccolti sia per recuperare codice JavaScript aggiuntivo da eseguire all’interno di Adobe Reader.
Nei campioni analizzati il server C2 è codificato e identificabile come 169.40.2.68:45191. Il codice restituito dal server viene decriptato sul client, una tecnica studiata per eludere l’ispezione del traffico di rete. Durante i test il server ha accettato connessioni ma non ha fornito un payload finale, comportamento coerente con una fase di verifica che distribuisce il secondo stadio solo a vittime che soddisfano specifici criteri di fingerprinting.
Potenziale per escalation e fuga dalla sandbox
Li e gli altri analisti sottolineano che la fase documentata rappresenta la testa di ponte della catena: il PDF iniziale ha il compito di profilare la macchina e preparare il terreno per exploit successivi in grado di ottenere Remote Code Execution (RCE) e Sandbox Escape (SBX).
Anche se durante le prove il server non ha consegnato codice offensivo aggiuntivo, i ricercatori hanno verificato che qualsiasi JavaScript restituito dal C2 verrebbe eseguito in contesto privilegiato dentro Adobe Reader, rendendo realistico il percorso verso l’esecuzione remota di codice.
Indicatori, nomi dei campioni e rilevamento
I campioni osservati presentano nomi come Invoice540.pdf e un file che ha scatenato l’alert su EXPMON denominato yummy_adobe_exploit_uwu.pdf. Entrambe le tracce mostravano un basso tasso di rilevamento sui motori antivirus tradizionali al momento dell’analisi, a indicare l’efficacia dell’offuscamento. Alcuni documenti contenevano esche in lingua russa con riferimenti al settore oil & gas, suggerendo un targeting mirato verso operatori di quel comparto. L’insieme degli elementi tecnici e logistici è coerente con un threat actor ben organizzato, sebbene non sia stata proposta un’attribuzione definitiva.
Contromisure e raccomandazioni
Al momento della pubblicazione i dettagli sono stati condivisi con Adobe ma non risultano ancora patch ufficiali disponibili. Gli autori consigliano agli utenti di non aprire PDF provenienti da mittenti non verificati fino al rilascio di correzioni. Per le difese di rete si suggerisce di monitorare e bloccare il traffico HTTP/HTTPS che include la stringa Adobe Synchronizer nell’header User-Agent, poiché è il marcatore usato dall’exploit per le comunicazioni con il C2; tuttavia va considerato che gli aggressori possono cambiare infrastruttura, quindi il blocco dell’IP hardcoded non è una contromisura esaustiva. La condivisione di campioni sospetti con servizi come EXPMON Public resta una delle poche misure utili per il rilevamento precoce di questa classe di attacchi.
