Attenzione ai pdf: scoperta una falla pericolosa in Adobe Acrobat Reader
Per via di una falla in Adobe Acrobat Reader, dei pdf infetti possono generare danni ingenti: basta semplicemente aprirli per scatenare un attacco informatico
Chi poteva immaginare che un semplice PDF potesse diventare il veicolo per un cyberattacco? Eppure è proprio così: una falla scoperta in Adobe Acrobat Reader starebbe permettendo ai criminali digitali di infettare i computer semplicemente inviando un file, spesso camuffato da fattura o sollecito di pagamento, che ruba i dati non appena viene aperto.
La minaccia è particolarmente insidiosa perché agisce nell’ombra, senza che l’utente o il software segnalino anomalie. Una volta visualizzato il file, il sistema viene compromesso all’istante, consentendo ai malintenzionati di accedere a dati e cartelle riservate e, nei casi più gravi, di assumere il controllo totale del dispositivo a distanza.
Chi ha scoperto l’attacco?
La scoperta di questa minaccia è merito del ricercatore di sicurezza Haifei Li, fondatore della piattaforma di analisi ExpMon. Come lo stesso Li scrive nella Cyber Security Hub Newsletter, una delle fonti presenti su LinkedIn più attendibili sui cyberattacchi e sulle intenzioni digitali malevole, tutto è nato dall’analisi di alcuni file ritenuti sospetti inviati alla piattaforma VirusTotal, sito web che scansiona gratuitamente files e URL per scovare virus o malwares.
In particolare, Li ha spiegato che a passare per le sue mani è stato il file Invoice540.pdf, datato novembre 2025, capace di scatenare un attacco informatico senza interazioni complesse. Di solito, infatti, per far danni, un file infetto ha bisogno che l’utente faccia qualcosa, come cliccare su un link o dare un’autorizzazione. Qui no: bastava il semplicissimo gesto di aprire il documento per far partire l’attacco.
Come funziona il pdf maligno?
Le analisi successive hanno rivelato la natura altamente sofisticata del malware. Per capire come agisce, bisogna immaginare il PDF non come un semplice foglio di carta digitale, ma come una busta chiusa che contiene un set di istruzioni nascoste. Normalmente un documento dovrebbe solo farsi leggere, mentre questo, una volta aperto, iniziava a impartire ordini al computer.
iStock
Il PDF non usa virus riconoscibili, ma sfrutta i comandi che Adobe utilizza normalmente per gestire i documenti: una tattica efficace perché, essendo comandi ufficiali, le difese del computer li lasciano passare pensando che il programma stia solo facendo il suo lavoro. È un po’ come se un malintenzionato entrasse in un ufficio spacciandosi per il tecnico della manutenzione: nessuno penserebbe di fermarlo.
E c’è di più: prima di entrare in azione, il file esegue un rapido controllo dell’ambiente per capire su che tipo di computer si trova. Se sospetta di essere finito sotto la lente di un esperto di sicurezza, rimane del tutto inerte, fingendosi un documento innocuo per evitare di essere studiato e scoperto. Se invece capisce di essere sul PC di un normale utente, dà il via libera all’attacco vero e proprio.
Un nemico subdolo
Ovviamente, è a questo punto avviene il danno maggiore: il software Adobe possiede una sorta di recinto di sicurezza che dovrebbe impedire a un file di uscire dal programma e curiosare nel resto del sistema, ma questo PDF maligno riesce a scavalcare la recinzione. Una volta fuori, ha la libertà di rovistare tra le cartelle personali, leggere i file riservati e inviarli via internet ai server dei criminali.
In pratica, basta il secondo necessario ad aprire una presunta fattura per mettere i propri dati in viaggio verso mani sbagliate. Tutto questo è possibile grazie a quella che in gergo viene chiamata vulnerabilità “zero-day”: il termine indica un buco nel sistema di cui nemmeno i creatori del software erano a conoscenza.
I programmatori hanno quindi avuto “zero giorni” per preparare una difesa prima che i criminali iniziassero a colpire. In questo momento, la situazione è in evoluzione: Adobe è stata informata della falla e sta lavorando per rilasciare un aggiornamento correttivo che chiuda definitivamente questo varco.
Nel frattempo, l’unica vera protezione rimane la prudenza dell’utente nel non aprire file di dubbia provenienza.
