Atores maliciosos vêm explorando, desde pelo menos dezembro de 2025, uma vulnerabilidade zero-day até então desconhecida no Adobe Reader por meio de documentos PDF maliciosamente preparados.
O achado, detalhado por Haifei Li, da EXPMON, foi descrito como um exploit de PDF altamente sofisticado.
O artefato, batizado de “Invoice540.pdf”, apareceu pela primeira vez no VirusTotal em 28 de novembro de 2025.
Uma segunda amostra foi enviada à plataforma em 23 de março de 2026.
Pelo nome do documento, é provável que haja um componente de social engineering, com os atacantes induzindo usuários desavisados a abrir os arquivos no Adobe Reader.
Depois de executado, o arquivo aciona automaticamente JavaScript ofuscado para coletar dados sensíveis e receber payloads adicionais.
O pesquisador de segurança Gi7w0rm afirmou em uma publicação no X que os PDFs observados contêm iscas em idioma russo e fazem referência a questões ligadas a eventos atuais do setor de petróleo e gás na Rússia.
“A amostra atua como um exploit inicial, com capacidade de coletar e vazar diversos tipos de informação, possivelmente seguido por exploits de remote code execution (RCE) e sandbox escape (SBX)”, disse Li.
“Ela abusa de uma vulnerabilidade zero-day ou ainda sem patch no Adobe Reader, o que permite a execução de APIs privilegiadas do Acrobat, e foi confirmado que funciona na versão mais recente do Adobe Reader.”
O mecanismo também permite exfiltrar as informações coletadas para um servidor remoto, em 169.40.2[.]68:45191, e receber código JavaScript adicional para execução.
Segundo Li, esse recurso pode ser usado para coletar dados locais, realizar ataques avançados de fingerprinting e preparar o terreno para ações subsequentes, incluindo o envio de outros exploits para obter execução de código ou escapar do sandbox.
A natureza exata do exploit de segunda fase ainda é desconhecida, já que não houve resposta do servidor.
Isso pode indicar que o ambiente local de testes, de onde a solicitação foi enviada, não atendia aos critérios necessários para receber o payload.
“Mesmo assim, essa capacidade zero-day ou sem patch para ampla coleta de informações e o potencial de exploração posterior com RCE e SBX são suficientes para manter a comunidade de segurança em alerta máximo”, afirmou Li.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...