Agentes maliciosos vêm explorando uma vulnerabilidade zero-day até então desconhecida no Adobe Reader por meio de documentos PDF criados com intenção maliciosa desde, pelo menos, dezembro de 2025. A descoberta foi detalhada por Haifei Li, da EXPMON, e é descrita como uma exploração de PDF altamente sofisticada.
Arquivo disfarçado circula no VirusTotal desde 2025
O arquivo “Invoice540.pdf” apareceu pela primeira vez na plataforma VirusTotal em 28 de novembro de 2025. Uma segunda amostra foi enviada em 23 de março de 2026. O nome do documento indica um componente de engenharia social, no qual os atacantes provavelmente atraem vítimas com um PDF que imita uma fatura legítima para induzi-las a abrir o arquivo no Adobe Reader.
Uma vez aberto, o documento aciona automaticamente a execução de JavaScript ofuscado. O código coleta dados confidenciais do sistema e estabelece contato com infraestrutura externa para receber cargas úteis adicionais.
Exploração abusa de APIs privilegiadas do Acrobat para mapear a vítima
Segundo Li, o exploit aproveita uma vulnerabilidade zero-day não corrigida que permite a execução de APIs privilegiadas do Acrobat. Também está confirmado que a vulnerabilidade funciona na versão mais recente do Adobe Reader. O pesquisador de segurança Gi7w0rm acrescentou, em publicação no X, que os documentos observados contêm iscas em russo e fazem referência a eventos relacionados à indústria de petróleo e gás na Rússia.
A amostra atua como um exploit inicial com capacidade de coletar e vazar diferentes tipos de informações, potencialmente seguida por exploits de execução remota de código (RCE, na sigla em inglês) e fuga de sandbox (SBX). O malware envia as informações coletadas para um servidor remoto (“169.40.2[.]68:45191”) e aguarda JavaScript adicional para execução.
Segunda etapa do ataque permanece desconhecida
A natureza exata do exploit de segundo estágio ainda é desconhecida. Nenhuma resposta foi recebida do servidor durante a análise. Isso porque o ambiente de teste local provavelmente não atendia aos critérios necessários para receber a carga útil, o que sugere que os atacantes filtram as vítimas antes de prosseguir.
“No entanto, essa capacidade zero-day/não corrigida para coleta ampla de informações e o potencial para exploração subsequente de RCE/SBX são suficientes para que a comunidade de segurança permaneça em alerta máximo”, disse Li.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.