网络罪犯正在使用一种新的PDF利用Adobe Reader,绕过了沙箱安全特性X和XI,为了在电脑上安装了银行业的恶意软件,据研究人员从俄罗斯安全公司Group-IB。
零日漏洞——一个前所未知的利用和应用补丁的漏洞——私下已经集成到一个黑洞的修改版本,一个商业网络攻击工具包,Group-IB研究者周三宣布。
“我们有监控特殊的私人社区,哪里有(利用)的信息,”安德烈科马罗夫,Group-IB国际项目主管部门和公司的首席技术官计算机紧急响应小组(CERT-GIB)周四说,通过电子邮件。“大部分这些信息是在私人俄罗斯和中国的黑客论坛。”
利用是在黑市上出售约30000美元到50000美元,目前它被用于有针对性的攻击银行客户,科马罗夫说。然而,理论上它也可以用来分配先进的持续威胁(摘要),通常与网络间谍攻击有关,他说。
这个特殊攻击的最有趣的方面是,它击败了Adobe Reader的沙箱保护特性X和,也称为保护模式和保护观点,设法阻止所有已知的PDF格式的任意代码执行漏洞直到现在。
此外,新开发的作品即使JavaScript支持Adobe Reader是禁用的。绝大多数已知的Adobe Reader利用利用JavaScript代码嵌入恶意PDF文件,所以他们需要JavaScript支持应用程序中的功能。
新开发可用于目标通过ie和火狐Adobe Reader,科马罗夫说。然而,Google Chrome的攻击失败因为Chrome Adobe Reader组件提供了额外的保护,他说。
利用比较有限,因为用户需要关闭浏览器加载恶意PDF文件后为了在电脑上执行恶意代码。Group-IB发布在YouTube上的视频展示在Internet Explorer攻击是如何工作的。
利用的细节与Adobe的产品安全事件响应团队共享(PSIRT),科马罗夫说。
Adobe没有立即回复记者的置评请求发送。
在过去,该公司经常推迟修补已知的漏洞在Adobe Reader X认为产品的沙盒功能将阻止任何利用针对这些缺陷。然而,如果这个新沙箱绕过验证,Adobe可能问题紧急更新。