安全提醒：Adobe Acrobat Reader存在安全漏洞 攻击者可通过PDF收集目标信息

沙箱漏洞检测系统 EXPMON 创始人李海飞 (音译) 日前发布博客披露 Adobe Acrobat Reader 阅读器中存在的安全漏洞，该漏洞似乎从 2025 年 11 月开始就在野外被攻击者利用，攻击者利用此漏洞无需交互的特点悄悄收集目标信息。

攻击者只需要在 PDF 文件中植入恶意代码并诱导用户使用 Acrobat Reader 打开这个文件即可，接着恶意代码会利用 Acrobat Reader 内置的 API 从目标计算机中提取信息，包括本地文件和系统详细信息等，这些信息会被发送回攻击者控制的服务器。



先侦查再筛选目标发起攻击

李海飞在博客中表示，攻击者开发的漏洞利用程序依赖于高度混淆的 JavaScript 代码，代码会在 Acrobat Reader 打开后立即运行，在用户不需要交互的情况下在后台收集各类信息。

在第一阶段攻击者的目的主要是侦查，恶意代码会获取操作系统信息、语言设置和文件路径来确定目标主机的类型，如果目标主机看起来有用则会提取第二阶段载荷。

第二阶段的恶意载荷会直接在 Acrobat Reader 中运行，在这个阶段中攻击者可能会升级攻击，甚至达到远程代码执行或沙箱逃逸的程度，但目前似乎还没有升级攻击的信息。

可能与俄罗斯石油和天然气行业有关：

李海飞称这种机制允许攻击者先收集用户信息、窃取本地数据和进行高级指纹识别，随后决定是否发起攻击，即如果目标满足攻击者的条件，攻击者可能会投放额外的漏洞利用程序来实现远程代码执行。

也就是说并非所有受害者都会受到相同的对待，有些系统仅被用于画像分析，有些系统则可能会被植入第二阶段恶意载荷，这表明攻击方式具有明确的针对性。

安全研究员 Gi7w0rm 则发现，与此次攻击有关的钓鱼文档包含俄语内容，其中提到与俄罗斯石油和天然气行业有关的消息，虽然这不能表明攻击者的身份，但可以证明攻击者拥有特定的目标而不是广泛撒网。

漏洞尚未被 Adobe 确认：

李海飞从 VirusTotal 中发现上传于 2025 年 11 月 28 日的相关恶意样本，这表明黑客的活动至少已经在 2025 年 11 月就已经开始，但直到 2026 年 3 月末才被彻底曝光。

然而该漏洞当前既没有 CVE 编号也没有得到 Adobe 的确认，所以也没有相关修复程序或漏洞补丁，因此即便在最新的 Adobe Acrobat Reader 中也可以利用漏洞。

这次安全事件也给所有用户敲响警钟：不要打开任何来历不明的文件，尤其是通过电子邮件发送的具有诱导性的文件，这些文件都可能包含恶意代码。