Los ataques de día cero contra Adobe Reader y Acrobat arrancan con un archivo .pdf corrupto que el Internet Storm Center (ISC) ha analizado en profundidad. El ISC es una organización sin ánimo de lucro que hace un seguimiento de los ataques en Internet.

Según su informe, “documentos PDF corruptos no son inusuales estos días” y se suelen ver, generalmente, adjuntos en los mensajes de correo electrónico. Sin embargo, los ataques dirigidos sólo se envían a un número pequeño de víctimas, por lo que generalmente los programas de seguridad no se percatan. En el caso del ataque que nos ocupa, fue detectado inicialmente sólo por 6 de los 40 programas antivirus, según el ISC.

pdfAsí, este ataque intenta instalar el troyano PoisonIvy, que permite a un atacante tener control remoto de un PC. También descarga un documento, denominado baby.pdf que es abierto por Reader.

Los atacantes están aprovechándose de este agujero de Adobe desde que se dio a conocer el mes pasado. En su boletín de seguridad, Adobe explica que algunas combinaciones de Windows y Reader, este agujero de seguridad sólo permitiría romper Reader pero no instalar malware. Se espera para el 12 de enero la actualización de seguridad que solucione este problema.