Bedrijven die Adobe Reader gebruiken zijn in toenemende mate het doelwit van criminelen die via gerichte aanvallen het netwerk willen infiltreren. De aanvallers weten binnen te dringen via een lek in Adobe Reader en Acrobat waar in februari een patch voor verscheen. De kwetsbaarheid wordt al sinds het uitkomen van de update misbruikt, maar de afgelopen weken is het aantal aanvallen sterk toegenomen.

Volgens Maarten van Horenbeeck, handler bij het Internet Storm Center (ISC), een interessante ontwikkeling, omdat het niet om een wijdverbreide aanval gaat. De exploit wordt alleen bij specifieke en gerichte aanvallen ingezet. Vanwege de omvang van de aanvallen heeft het ISC besloten een waarschuwing afgegeven. "Op dit moment krijgen we per dag meer kwaadaardige PDF-exemplaren binnen dan andere veel gebruikte bestandstypen, zoals Doc, CHM en PPT." Eerder liet Symantec weten dat het aandeel van kwaadaardige PDF-bestanden slechts 3% bedroeg en de meeste malware in Word-bestanden zat verstopt.

De aanval bestaat uit een schoon PDF-bestand en een Trojan installer. Eenmaal geopend op een kwetsbaar systeem installeert de Trojan een backdoor en laat de gebruiker het schone PDF bestand zien. In dit geval wordt Adobe Reader eerst geopend, dan gesloten waarna het PDF document verschijnt, iets wat gebruikers kan laten zien dat er iets vreemds aan de hand is. In het geval van een gepatcht systeem verschijnt de melding dat het bestand corrupt is geraakt. Zoals bij veel gerichte aanvallen is de detectie door virusscanners bijzonder slecht. Van de 32 scanners bleken slechts 5 de malware te herkennen.

Het probleem wordt verergerd omdat er voor gebruikers weinig reden is om te upgraden, iets wat vaak ook nog handmatig moet gebruiken. "Het bestandsformaat is relatief stabiel en gebruikers van Adobe Reader 7 zien niet altijd de noodzaak om te upgraden," aldus van Horenbeeck.