SchwachstellenHackerangriffeMalware

Adobe Reader Zero-Day: Betrüger nutzen manipulierte PDFs seit Monaten aus

Adobe Reader Zero-Day: Betrüger nutzen manipulierte PDFs seit Monaten aus
Zusammenfassung

Eine bislang unbekannte Sicherheitslücke in Adobe Reader wird seit mindestens Dezember 2025 aktiv ausgenutzt. Sicherheitsforscher haben entdeckt, dass Angreifer über manipulierte PDF-Dokumente mit unscheinbaren Namen wie „Invoice540.pdf" eine hochsophistizierte Exploit-Kampagne durchführen. Die Malware wird automatisch ausgelöst, sobald Nutzer die PDFs öffnen, und führt obfuskierten JavaScript-Code aus, um sensible Daten zu sammeln und zusätzliche Schadprogramme nachzuladen. Die Angreifer setzen dabei auf Social Engineering und nutzen russischsprachige Köder, die sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie beziehen. Die Zero-Day-Lücke betrifft auch die neueste Version von Adobe Reader und ermöglicht es den Angreifern, privilegierte Acrobat-APIs auszuführen, Daten abzuziehen und potenziell Fernzugriff zu erlangen. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar: Wer regelmäßig PDF-Dateien öffnet – insbesondere solche mit geschäftlichem Kontext – könnte ins Visier geraten. Unternehmen sollten ihre Systeme überwachen, Adobe Reader aktuell halten und Mitarbeiter für verdächtige Anhänge sensibilisieren. Eine offizielle Korrektur von Adobe steht noch aus, weshalb erhöhte Wachsamkeit geboten ist.

Die Sicherheitscommunity blickt besorgt auf eine kritische Schwachstelle in Adobe Reader. Der Forscher Haifei Li von EXPMON hat einen hochgradig sophistizierten PDF-Exploit dokumentiert, der seit mindestens vier Monaten von Cyberkriminellen eingesetzt wird. Das verdächtige Dokument mit dem Namen “Invoice540.pdf” tauchte erstmals am 28. November 2025 in der Malware-Datenbank VirusTotal auf. Ein zweites ähnliches Sample folgte am 23. März 2026.

Die Attacken zeigen klassische Merkmale sozialer Ingenieurtechniken: Angreifer verstecken ihre Exploits in harmlos wirkenden Dokumenten – in diesem Fall mit russischsprachigen Ködern, die sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie beziehen. Nutzer, die die PDF-Datei öffnen, werden kaum etwas bemerken. Im Hintergrund jedoch startet ein automatisiertes JavaScript-Skript, das sensible Systemdaten sammelt und diese an einen entfernten Server übermittelt (169.40.2.68:45191).

Besonders beunruhigend ist die technische Tiefe des Exploits. Die Zero-Day-Lücke ermöglicht es dem JavaScript, privilegierte Adobe-APIs auszuführen – eine Eskalation, die normalerweise unterbunden sein sollte. Der Forscher warnt zudem, dass das Dokument nicht nur als einfacher Datendieb fungiert, sondern als Einfallstor für Follow-up-Attacks dienen kann. Bislang unbekannte Zweit-Stage-Exploits könnten darauf abzielen, Remote Code Execution zu ermöglichen oder die Adobe-Sandbox zu durchbrechen.

Li betont, dass der aktuelle Exploit bereits auf den neuesten Versionen von Adobe Reader funktioniert. Das macht eine schnelle Behebung für Adobe zur Priorität. Allerdings bleiben zentrale Fragen offen: Welche Menge an Daten wurde bereits exfiltriert? Wie viele Nutzer sind betroffen? Und vor allem – welche Zielgruppe steht im Fokus der Angreifer?

Für deutsche Nutzer und Unternehmen empfehlen Experten erhöhte Vorsicht. PDFs sollten derzeit nur mit kritischer Überprüfung geöffnet werden, insbesondere solche mit unerwarteten Dokumenten oder unbekannten Absendern. Adobe hat bisher kein Sicherheitsupdate veröffentlicht. Als Übergangslösung wird geraten, JavaScript in Adobe Reader zu deaktivieren oder auf alternative PDF-Reader auszuweichen. Die Situation bleibt angespannt – dieses ist eine sich entwickelnde Geschichte mit hohem Risikopotenzial.

Ähnliche Artikel