{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreid6q34lemak5klfr452vejwzc2ie5o4cxswbimsjuttjfctybae5e",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mjgatdbkxjw2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreibxbympbyoxugbf3yhamgary443d6zu6pshdcdmbgebzfvu3tasna"
},
"mimeType": "image/png",
"size": 729906
},
"path": "/seguranca/412288-zero-day-no-adobe-reader-explora-pdfs-maliciosos-desde-dezembro-de-2025.htm",
"publishedAt": "2026-04-14T00:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança"
],
"textContent": "Agentes maliciosos vêm explorando uma vulnerabilidade zero-day até então desconhecida no Adobe Reader por meio de documentos PDF criados com intenção maliciosa desde, pelo menos, dezembro de 2025. A descoberta foi detalhada por Haifei Li, da EXPMON, e é descrita como uma exploração de PDF altamente sofisticada.\n\n## Arquivo disfarçado circula no VirusTotal desde 2025\n\nO arquivo \"Invoice540.pdf\" apareceu pela primeira vez na plataforma VirusTotal em 28 de novembro de 2025. Uma segunda amostra foi enviada em 23 de março de 2026. O nome do documento indica um componente de engenharia social, no qual os atacantes provavelmente atraem vítimas com um PDF que imita uma fatura legítima para induzi-las a abrir o arquivo no Adobe Reader.\n\nUma vez aberto, o documento aciona automaticamente a execução de JavaScript ofuscado. O código coleta dados confidenciais do sistema e estabelece contato com infraestrutura externa para receber cargas úteis adicionais.\n\n## Exploração abusa de APIs privilegiadas do Acrobat para mapear a vítima\n\nSegundo Li, o exploit aproveita uma vulnerabilidade zero-day não corrigida que permite a execução de APIs privilegiadas do Acrobat. Também está confirmado que a vulnerabilidade funciona na versão mais recente do Adobe Reader. O pesquisador de segurança Gi7w0rm acrescentou, em publicação no X, que os documentos observados contêm iscas em russo e fazem referência a eventos relacionados à indústria de petróleo e gás na Rússia.\n\nA amostra atua como um exploit inicial com capacidade de coletar e vazar diferentes tipos de informações, potencialmente seguida por exploits de execução remota de código (RCE, na sigla em inglês) e fuga de sandbox (SBX). O malware envia as informações coletadas para um servidor remoto (\"169.40.2[.]68:45191\") e aguarda JavaScript adicional para execução.\n\n## Segunda etapa do ataque permanece desconhecida\n\nA natureza exata do exploit de segundo estágio ainda é desconhecida. Nenhuma resposta foi recebida do servidor durante a análise. Isso porque o ambiente de teste local provavelmente não atendia aos critérios necessários para receber a carga útil, o que sugere que os atacantes filtram as vítimas antes de prosseguir.\n\n\"No entanto, essa capacidade zero-day/não corrigida para coleta ampla de informações e o potencial para exploração subsequente de RCE/SBX são suficientes para que a comunidade de segurança permaneça em alerta máximo\", disse Li.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
"title": "Zero-day no Adobe Reader explora PDFs maliciosos desde dezembro de 2025"
}