G DATA, software house tedesca con esperienza ventennale nell’area della sicurezza, ha denunciato la scoperta – nel corso degli ultimi giorni – di centinaia di domini web dai nomi decisamente espliciti che sono stati sfruttati per provocare l’esecuzione di codice dannoso sui sistemi degli utenti sprovvisti delle patch di sicurezza per Adobe Reader.
I nomi dei domini web sono basati su termini volgari per attirare i navigatori e causare quante più infezioni possibile. Il malware che viene scaricato durante questo tipo di attacco è stato identificato da G DATA come Packer.Malware.NSAnti.h oppure Win32:Agent-ACFU. I pericolosi siti web individuati da G DATA contengono IFRAME che puntano, a loro volta, a documenti PDF dannosi, situati su un server cinese. Nel caso in cui l’utente dovesse visitare le pagine web “maligne” servendosi di una macchina sulla quale è installata una versione non aggiornata di Adobe Reader, il sistema verrebbe immeditamente reso oggetto di infezione. Se il browser in uso utilizza l’add-on di Adobe Reader per la visualizzazione diretta dei documenti PDF, il problema è da considerarsi ancor più grave. In tali situazioni, infatti, il file PDF “maligno” verrebbe immediatamente aperto, senza la necessità di ulteriori interventi da parte dell’utente.
Gli attacchi basati sull’impiego di documenti PDF modificati “ad arte” per sfruttare falle di sicurezza conosciute di Adobe Reader sono sempre più in crescita. Per scongiurare ogni problema, come spesso ricordato, è indispensabile controllare di utilizzare l’ultima versione di Adobe Reader. Tra l’altro, proprio due giorni fa Adobe ha messo a disposizione un nuovo aggiornamento di sicurezza scaricabile come pacchetto “stand alone” od applicabile attraverso la funzione di update di Reader.