Ator(es) maliciosos têm explorado uma vulnerabilidade zero-day até então desconhecida no Adobe Reader por meio de PDFs criados com intenção maliciosa desde, pelo menos, dezembro de 2025. A investigação foi detalhada por Haifei Li, da EXPMON, e a exploração é descrita como altamente sofisticada.
Arquivo mascarado aparece no VirusTotal desde 2025
O arquivo “Invoice540.pdf” foi enviado pela primeira vez à plataforma VirusTotal em 28 de novembro de 2025. Uma segunda amostra foi submetida em 23 de março de 2026. O nome do documento sugere um componente de engenharia social, em que os atacantes provavelmente tentam atrair vítimas com um PDF que imita uma fatura legítima para induzi-las a abrir o arquivo no Adobe Reader.
smart_display
Vídeos em destaque
Ao ser aberto, o documento aciona automaticamente a execução de JavaScript ofuscado. O código coleta dados sensíveis do sistema e estabelece comunicação com infraestrutura externa para receber cargas úteis adicionais.
Exploração faz uso de APIs privilegiadas do Acrobat para mapear a vítima
De acordo com Li, o exploit aproveita uma falha zero-day não corrigida que permite o uso de APIs privilegiadas do Acrobat. Também foi confirmado que a vulnerabilidade afeta a versão mais recente do Adobe Reader. O pesquisador Gi7w0rm comentou no X que os documentos observados contêm iscas em russo e fazem referência a eventos relacionados à indústria de petróleo e gás na Rússia.
A amostra funciona como um exploit inicial com capacidade para coletar e vazar diferentes tipos de informações, possivelmente seguido por exploit(s) de execução remota de código (RCE) e fuga de sandbox (SBX). O malware envia os dados coletados para um servidor remoto (“169.40.2[.]68:45191”) e aguarda por JavaScript adicional para execução.
Fase seguinte do ataque continua desconhecida
A natureza exata do exploit de segundo estágio ainda não foi determinada. Nenhuma resposta foi recebida do servidor durante a análise. Isso provavelmente se deve ao fato de o ambiente de teste local não atender aos critérios necessários para receber a carga útil, o que sugere que os atacantes filtram as potenciais vítimas antes de prosseguir.
 "Vulnerabilidade zero-day no Adobe Reader: exploit em PDF em uso desde dezembro de 2025 2")
“Mesmo assim, essa capacidade zero-day não corrigida para coleta ampla de informações e o potencial para exploração subsequente de RCE/SBX são suficientes para que a comunidade de segurança mantenha-se em alerta máximo”, afirmou Li.
Siga o TecMundo nas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se em nossa newsletter e no canal do YouTube.
