Uma vulnerabilidade zero-day no Adobe Reader vem sendo explorada por agentes maliciosos por meio de arquivos PDF preparados para ataque desde, pelo menos, dezembro de 2025, segundo relato publicado em 13 de abril de 2026. De acordo com informações do TecMundo, a descoberta foi detalhada por Haifei Li, da EXPMON, que descreveu o caso como uma exploração sofisticada capaz de coletar dados do sistema e preparar etapas posteriores do ataque sem interação adicional do usuário.
Segundo a publicação, o arquivo malicioso se apresenta como um PDF aparentemente legítimo, com potencial uso de engenharia social para induzir a vítima à abertura do documento no leitor da Adobe. Uma vez aberto, o arquivo executa automaticamente JavaScript ofuscado, recolhe informações do sistema e tenta contato com infraestrutura externa para receber cargas adicionais.
Como o arquivo malicioso foi identificado?
O texto informa que o documento chamado Invoice540.pdf apareceu pela primeira vez no VirusTotal em 28 de novembro de 2025. Uma segunda amostra teria sido enviada em 23 de março de 2026. O nome do arquivo, segundo a análise citada, sugere uma tentativa de fazer o documento se passar por uma fatura legítima para aumentar a chance de abertura pela vítima.
Depois da execução inicial, o código malicioso passa a coletar dados sensíveis do sistema e a estabelecer comunicação com um servidor remoto. Esse comportamento, de acordo com a reportagem, é parte de uma cadeia de exploração mais ampla, cuja segunda etapa ainda não foi plenamente identificada.
O que torna essa falha especialmente preocupante?
De acordo com Haifei Li, o exploit se aproveita de uma vulnerabilidade ainda não corrigida que permite o uso de APIs privilegiadas do Acrobat. A publicação também afirma que o problema funciona inclusive na versão mais recente do Adobe Reader, o que amplia o potencial de exposição dos usuários.
Outro ponto destacado é que os documentos analisados conteriam iscas em russo e referências a eventos ligados à indústria de petróleo e gás na Rússia, conforme observação atribuída ao pesquisador de segurança Gi7w0rm em publicação na rede X. A amostra analisada atuaria como estágio inicial do ataque, com capacidade de coletar e vazar informações antes de uma possível exploração adicional.
Quais capacidades a amostra demonstrou?
Segundo o relato, o malware tem potencial para funcionar como uma etapa preparatória para novos exploits, incluindo execução remota de código e fuga de sandbox. As informações coletadas seriam enviadas a um servidor remoto, identificado no texto como 169.40.2[.]68:45191, de onde o documento passaria a aguardar JavaScript adicional.
- Execução automática de JavaScript ofuscado ao abrir o PDF
- Coleta de informações do sistema da vítima
- Contato com infraestrutura externa para receber nova carga
- Possível preparação para execução remota de código e fuga de sandbox
A etapa seguinte, porém, permanece desconhecida. Durante a análise mencionada pela reportagem, não houve resposta do servidor remoto. A avaliação apresentada é que o ambiente de teste local talvez não atendesse aos critérios necessários para receber a carga útil, indicando a possibilidade de filtragem prévia das vítimas pelos atacantes.
“No entanto, essa capacidade zero-day/não corrigida para coleta ampla de informações e o potencial para exploração subsequente de RCE/SBX são suficientes para que a comunidade de segurança permaneça em alerta máximo”, disse Li.
O que já se sabe e o que ainda não foi confirmado?
Até o momento, o que foi descrito publicamente é a existência de uma exploração ativa, a circulação de ao menos duas amostras observadas e o uso de mecanismos para mapear o ambiente da vítima e possivelmente decidir o prosseguimento do ataque. Já a natureza exata da segunda etapa ainda não foi determinada, segundo a própria análise reproduzida pela reportagem.
Assim, o caso chama atenção por reunir três elementos relevantes para a comunidade de segurança: a exploração de uma falha não corrigida, o abuso de recursos privilegiados do Acrobat e a capacidade de coleta de dados antes de uma possível infecção mais profunda. A reportagem não informa, no entanto, a disponibilização de correção pela Adobe até o momento da publicação original.
