Uma vulnerabilidade zero-day no Adobe Reader está sendo explorada por cibercriminosos por meio de arquivos PDF maliciosos desde, pelo menos, o fim de 2025. A descoberta foi feita pelo pesquisador Haifei Li, da EXPMON, que classificou o ataque como altamente sofisticado.
PDF disfarçado de fatura inicia o ataque
Um dos arquivos identificados, chamado “Invoice540.pdf”, começou a circular na plataforma VirusTotal em novembro de 2025, com uma nova amostra detectada em março de 2026.
O nome do documento indica o uso de engenharia social: a ideia é fazer a vítima acreditar que se trata de uma fatura legítima. Ao abrir o PDF, um código JavaScript oculto é executado automaticamente, iniciando a coleta de informações sensíveis do sistema.
Exploração usa recursos internos do Acrobat
Segundo os pesquisadores, a falha permite o uso indevido de APIs privilegiadas do Acrobat, o que amplia significativamente o alcance do ataque. A vulnerabilidade ainda não foi corrigida e afeta inclusive versões recentes do leitor de PDF.
Além de coletar dados, o código estabelece conexão com servidores externos para buscar novas instruções, indicando um ataque em múltiplas etapas.
Ataque pode evoluir para invasões mais graves
A primeira fase do ataque já é capaz de extrair e enviar informações do sistema da vítima. No entanto, especialistas alertam que isso pode ser apenas o início.
Há indícios de que a exploração pode evoluir para execução remota de código (RCE) e até fuga de sandbox, permitindo controle mais amplo da máquina infectada.
Os dados coletados são enviados para um servidor remoto, que pode responder com novos comandos. Durante as análises, porém, não houve retorno — o que sugere que os criminosos filtram suas vítimas antes de avançar para a próxima etapa.
Alerta para a comunidade de segurança
Pesquisadores destacam que a combinação de uma falha zero-day ativa com técnicas avançadas de coleta de dados representa um risco elevado. Mesmo sem todos os detalhes da segunda fase do ataque, o cenário já é suficiente para manter especialistas em alerta.
A recomendação é redobrar a cautela ao abrir arquivos PDF de origem desconhecida, especialmente aqueles que simulam documentos financeiros.
