Hackers hebben de populaire Torrentsite Isohunt.com gebruikt voor het infecteren van bezoekers via het nog altijd ongepatchte beveiligingslek in Adobe Reader en Acrobat. De website waarschuwt bezoekers om geen onbetrouwbare PDF-bestanden die op de computer staan te openen. "Met name die zonder enige interactie beginnen met downloaden." Isohunt erkent dat de zero-day PDF-aanval inmiddels ook op de eigen website voorkomen. "We doen ons best om alle adverteerders die deze slechte advertenties tonen te weren, maar we zijn niet perfect. Dus nogmaals, open, bekijk en download geen PDF bestanden die automatisch verschijnen." In de tussentijd krijgen systeembeheerders het advies om 193.104.22.0/24 en 89.149.236.46 te blokkeren. 193.104.22.0/24 zou eerder al bij andere aanvallen zijn betrokken.

Nieuwe aanval
Dat PDF-bestanden het hackerwapen bij uitstek zijn blijkt uit een nieuwe, geavanceerde aanval waar het Internet Storm Center (ISC) voor waarschuwt. De shellcode van deze aanval was slechts 38 bytes groot. Hoewel die dezelfde heap spraying techniek als andere exploits gebruikt, is het tweede gedeelte van de shellcode als ander object aan het PDF document toegevoegd. In eerste instantie lijkt deze code corrupt te zijn, maar Adobe Reader opent toch het hele document in het geheugen, waaronder de corrupte code. Volgens Bojan Zdrnja zijn de voordelen voor een aanvaller duidelijk. Die kan wat de exploit doet eenvoudig wijzigen, zonder dat het eerste gedeelte van de shellcode moet worden aangepast.

Dat maakt automatische analyse van elke tool die een JavaScript interpreter voor de toegevoegde JavaScript gebruikt onmogelijk. Verder onderzoek wijst uit dat er twee verstopte binaries aanwezig zijn en dat het PDF document alles bevat om de machine volledig over te nemen. Er hoeft niets "extra's" te worden gedownload. "Niet alleen is dit een interessant voorbeeld van een kwaadaardig PDF document dat een geavanceerde lading bevat, maar ook hoeveel moeite de aanvallers doen om ervoor te zorgen dat hun malware niet alleen voor anti-virusbedrijven, maar ook voor de slachtoffers lastig is te detecteren", aldus de ISC-handler.

Meer meldingen
Zdrjna adviseert gebruikers in afwachting van een patch om JavaScript uit te schakelen. Er verschijnen namelijk steeds meer meldingen van PDF documenten die dit zero-day lek misbruiken. "Als we het nieuwe jaar moeten beoordelen aan de complexiteit die aanvallers nu gebruiken, dan ziet er niet goed uit."