Lỗ hổng zero-day Adobe Reader tồn tại nhiều tháng, dùng PDF để "định danh" nạn nhân

Các chuyên gia bảo mật vừa phát hiện một chiến dịch tấn công nguy hiểm, trong đó hacker đã âm thầm khai thác một lỗ hổng zero-day (vừa mới phát hiện) của Adobe Acrobat Reader trong nhiều tháng. Bằng cách sử dụng các file PDF đã bị cài cắm mã độc, kẻ tấn công có thể "định danh" nạn nhân và quyết định ai là người đáng để bị tấn công hoàn toàn.

Cơ chế hoạt động của lỗ hổng

Theo Haifei Li, nhà nghiên cứu bảo mật và người sáng lập hệ thống phát hiện khai thác dựa trên sandbox EXPMON, chiến dịch này sử dụng một file PDF độc hại có khả năng tự chạy ngay khi được mở. Đáng lo ngại là khai thác này hoạt động hiệu quả ngay cả trên các cài đặt Adobe Reader đã được cập nhật mới nhất, và không yêu cầu người dùng thực hiện bất kỳ thao tác nhấp chuột nào ngoài việc xem file.

Lỗ hổng này dựa vào một đoạn mã JavaScript đã bị che giấu kỹ lưỡng (obfuscated). Thay vì gây hại ngay lập tức, nó bắt đầu thu thập thông tin từ máy tính nạn nhân bằng cách sử dụng các API tích hợp sẵn của Acrobat. Các dữ liệu này bao gồm thông tin hệ điều hành, cài đặt ngôn ngữ và đường dẫn file, sau đó được gửi ngược về các máy chủ do kẻ tấn công kiểm soát.

Chiến thuật trinh sát và tấn công có chọn lọc

Giai đoạn đầu tiên về cơ bản là bước trinh sát (reconnaissance). Mã độc sẽ lấy thông tin hệ điều hành, ngôn ngữ và đường dẫn file để xác định môi trường mà nó đã xâm nhập. Nếu máy tính nạn nhân có vẻ có giá trị, nó sẽ tải xuống một payload (tải trọng) thứ hai và chạy nó bên trong ứng dụng Reader. Các nhà nghiên cứu cho biết giai đoạn này có thể leo thang mức độ nghiêm trọng, dẫn đến việc thực thi mã từ xa (Remote Code Execution - RCE) hoặc thậm chí là thoát khỏi sandbox bảo mật.

"Cơ chế như vậy cho phép tác nhân đe dọa thu thập thông tin người dùng, đánh cắp dữ liệu cục bộ, thực hiện 'định danh' nâng cao và tung ra các cuộc tấn công trong tương lai," ông Li nói. "Nếu mục tiêu đáp ứng các điều kiện của kẻ tấn công, chúng có thể gửi thêm khai thác để đạt được RCE hoặc SBX (sandbox escape)."

Nói cách khác, không phải mọi nạn nhân đều bị đối xử giống nhau. Một số hệ thống chỉ bị thu thập thông tin, trong khi những hệ thống khác nhận được payload thứ hai, cho thấy đây là một cách tiếp cận có mục tiêu nhắm vào các đối tượng cụ thể.

Mục tiêu và mối đe dọa tiềm ẩn

Có những manh mối ban đầu về danh tính của các mục tiêu này. Một nhà nghiên cứu khác có biệt danh Gi7w0rm đã phát hiện ra rằng các tài liệu nhử (lure documents) liên quan đến lỗ hổng này chứa nội dung bằng tiếng Nga, đề cập đến các sự kiện hiện tại trong ngành dầu khí của nước này. Mặc dù điều này không chứng minh được sự quy trách nhiệm (attribution), nhưng nó cho thấy các kẻ tấn công đã có một khán giả cụ thể trong tâm trí thay vì tung lưới rộng rãi.

Điều khiến sự việc này trở nên nghiêm trọng hơn một lỗi PDF thông thường là khoảng thời gian nó tồn tại mà không bị phát hiện. Ông Li chỉ ra một mẫu liên quan đã được tải lên VirusTotal vào ngày 28 tháng 11 năm 2025, cho thấy chiến dịch này đã hoạt động ít nhất bốn tháng trước khi bị phát hiện. Điều này đặt hoạt động quay trở lại cuối năm 2025, mặc dù nó chỉ mới được công bố vào tháng 3 năm nay.

Tình trạng hiện tại và khuyến nghị

Tại thời điểm này, vẫn chưa có mã CVE, chưa có bản vá lỗi (patch), và Adobe chưa đưa ra bất kỳ tuyên bố công khai nào hay trả lời các câu hỏi từ báo chí. Điều này khiến người dùng hiện đang bị lộ lỗ, đặc biệt là những người có thói quen mở các file PDF từ các nguồn không rõ ràng.

Người dùng được khuyến cáo thận trọng khi mở file đính kèm từ email hoặc tải xuống từ mạng Internet cho đến khi Adobe tung ra bản cập nhật bảo mật.