hu, 09 Apr 2026
← VoltarOs atores da ameaça exploram uma vulnerabilidade de dia zero no Adobe Reader por meio de PDFs maliciosos, ativos desde dezembro de 2025. A exploração usa JavaScript ofuscado para coletar dados e entregar cargas úteis.
Os atores da ameaça têm explorado uma vulnerabilidade de dia zero anteriormente desconhecida no Adobe Reader usando documentos PDF criados com códigos maliciosos desde pelo menos dezembro de 2025. A descoberta, detalhada por Haifei Li da EXPMON, foi descrita como uma exploração de PDF altamente sofisticada. O artefato (“Invoice540.pdf”) apareceu pela primeira vez na plataforma VirusTotal em 28 de novembro de 2025. Uma segunda amostra foi carregada no VirusTotal em 23 de março de 2026.
Dado o nome do documento PDF, é provável que haja um elemento de engenharia social envolvido, com os invasores atraindo usuários desavisados para que abram os arquivos no Adobe Reader. Uma vez iniciado, ele aciona automaticamente a execução de JavaScript ofuscado para coletar dados confidenciais e receber cargas adicionais. O pesquisador de segurança Gi7w0rm, em um post X, disse que os documentos PDF observados contêm iscas em russo e referem-se a questões relacionadas a eventos atuais relacionados à indústria de petróleo e gás na Rússia. “A amostra atua como uma exploração inicial com a capacidade de coletar e vazar vários tipos de informações, potencialmente seguidas por explorações de execução remota de código (RCE) e escape de sandbox (SBX)”, disse Li.
"Ele abusa da vulnerabilidade zero-day/não corrigida no Adobe Reader que permite executar APIs privilegiadas do Acrobat, e está confirmado que funciona na versão mais recente do Adobe Reader." Também vem com capacidades para exfiltrar as informações recolhidas para um servidor remoto ("169.40.2[.]68:45191") e receber código JavaScript adicional para ser executado. Este mecanismo, argumentou Li, poderia ser usado para coletar dados locais, realizar ataques avançados de impressão digital e preparar o terreno para atividades subsequentes, incluindo a entrega de explorações adicionais para obter execução de código ou sandbox. A natureza exata desta exploração de próximo estágio permanece desconhecida, pois nenhuma resposta foi recebida do servidor. Isto, por sua vez, poderia implicar que o ambiente de teste local a partir do qual a solicitação foi emitida não atendeu aos critérios necessários para receber a carga útil.
“No entanto, esta capacidade de dia zero/não corrigida para ampla coleta de informações e o potencial para exploração subsequente de RCE/SBX é suficiente para que a comunidade de segurança permaneça em alerta máximo”, disse Li. (Esta é uma história em desenvolvimento. Volte para obter mais detalhes.)