Pesquisador da EXPMON detectou uma exploração complexa que utiliza APIs privilegiadas do Acrobat para coletar dados do sistema e preparar ataques subsequentes sem a necessidade de interação do usuário.
Criminosos cibernéticos têm explorado uma vulnerabilidade zero-day desconhecida no Adobe Reader por meio de arquivos PDF criados intencionalmente com propósitos maliciosos desde, pelo menos, dezembro de 2025. A análise foi realizada por Haifei Li, da EXPMON, e revela uma exploração de PDF extremamente elaborada.
Arquivo disfarçado circula no VirusTotal desde 2025
O arquivo “Invoice540.pdf” foi enviado pela primeira vez à plataforma VirusTotal em 28 de novembro de 2025, com uma segunda amostra aparecendo em 23 de março de 2026. O nome do documento sugere uma estratégia de engenharia social, onde os invasores atraem vítimas com um PDF que simula uma fatura legítima, tentando convencê-las a abrir o arquivo no Adobe Reader.
Assim que o documento é aberto, ele executa automaticamente JavaScript ofuscado. Este código coleta informações sensíveis do sistema e estabelece uma conexão com servidores externos para receber cargas úteis adicionais.
Drone de R$ 1 bilhão dos EUA desaparece perto do Irã após alerta de emergência
Exploração utiliza APIs privilegiadas do Acrobat para mapear a vítima
Conforme indicado por Li, o exploit tira proveito de uma vulnerabilidade zero-day não corrigida que permite a execução de APIs privilegiadas do Acrobat. A vulnerabilidade foi confirmada na versão mais recente do Adobe Reader. O especialista em segurança Gi7w0rm observou, em postagem no X, que os documentos analisados apresentam armadilhas em russo e fazem referência a eventos na indústria de petróleo e gás na Rússia.
A amostra atua como um exploit inicial, capaz de coletar e vazar diversos tipos de informações, potencialmente seguida por explorações de execução remota de código (RCE) e fuga de sandbox (SBX). O malware envia os dados coletados para um servidor remoto (“169.40.2[.]68:45191”) e aguarda a entrega de mais JavaScript para execução.
Segunda fase do ataque permanece desconhecida
A natureza exata do exploit na segunda fase ainda é um mistério. Durante a análise, nenhuma resposta foi obtida do servidor, provavelmente porque o ambiente de teste não atendia aos critérios necessários para receber a carga útil, sugerindo que os atacantes selecionam suas vítimas antes de prosseguir.
Extensão falsa do Chrome trava navegador e infecta mais de 5 mil usuários com vírus
“No entanto, essa capacidade zero-day não corrigida de coletar informações amplas e o potencial para exploração subsequente de RCE/SBX exigem que a comunidade de segurança mantenha um alto nível de alerta,” afirmou Li.
Fique por dentro das novidades na TecMania! Para mais informações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.