Nach Darstellung von Haifei Li dient das Sample als erster Exploit, der verschiedene Arten von Informationen sammeln und abfließen lassen kann — mit der möglichen Folge weiterer Exploits zur Remotecodeausführung (RCE) und zum Ausbruch aus der Sandbox (SBX). Die ausgenutzte Schwachstelle erlaube es, privilegierte Acrobat-APIs aufzurufen; sie sei bislang ungepatcht und funktioniere bestätigtermaßen auf der aktuellen Version des Adobe Reader.
Technisch greift der Angriff in mehreren Schritten: Nach dem Öffnen der Datei wird verschleiertes JavaScript ausgeführt. Die so gesammelten Daten sendet die Schadkomponente an einen entfernten Server unter der Adresse 169.40.2[.]68:45191 und kann von dort weiteren JavaScript-Code empfangen und ausführen.
Dieser Mechanismus eignet sich laut Li dazu, lokale Daten zu erfassen, fortgeschrittene Fingerprinting-Angriffe durchzuführen und Folgeaktivitäten vorzubereiten — darunter die Auslieferung zusätzlicher Exploits, um Codeausführung zu erreichen oder die Sandbox zu durchbrechen.
Welche Gestalt dieser Exploit der nächsten Stufe annimmt, ist offen: Vom kontaktierten Server kam keine Antwort. Das könnte laut Li daran liegen, dass die lokale Testumgebung, aus der die Anfrage stammte, die nötigen Kriterien für die Auslieferung der Schadkomponente nicht erfüllte.
„Dennoch reichen diese Zero-Day- beziehungsweise ungepatchte Fähigkeit zum breiten Sammeln von Informationen und das Potenzial für eine anschließende RCE-/SBX-Ausnutzung aus, damit die Sicherheits-Community in höchster Alarmbereitschaft bleibt", erklärte Li.
