Uma vulnerabilidade zero-day no Adobe Reader está sendo explorada por cibercriminosos desde pelo menos dezembro de 2025, utilizando arquivos PDF especialmente manipulados para enganar usuários e executar ataques.
A descoberta foi detalhada por pesquisadores de segurança, que identificaram uma campanha sofisticada baseada em documentos PDF maliciosos. Um dos arquivos analisados, chamado “Invoice540.pdf”, apareceu pela primeira vez em plataformas de análise de malware no fim de novembro de 2025, com novos exemplos surgindo meses depois.
Pelo nome do arquivo, tudo indica que os ataques envolvem engenharia social, levando usuários a acreditarem que se trata de uma fatura ou documento legítimo. Ao abrir o PDF no Adobe Reader, o arquivo ativa automaticamente um código JavaScript ofuscado.
Esse código é responsável por coletar dados sensíveis do sistema da vítima e, ao mesmo tempo, buscar novos comandos ou cargas maliciosas adicionais a partir de servidores remotos.
Pesquisadores também observaram que alguns desses documentos utilizam conteúdos em russo como isca, mencionando temas atuais relacionados à indústria de petróleo e gás, o que aumenta a credibilidade do ataque em determinados contextos.
Segundo a análise técnica, o PDF funciona como um vetor inicial de exploração, com capacidade de coletar informações diversas do sistema comprometido. Em seguida, ele pode abrir caminho para ataques mais avançados, incluindo execução remota de código e tentativas de escapar de mecanismos de sandbox.
A vulnerabilidade explorada ainda não possui correção, o que a caracteriza como zero-day. Isso significa que mesmo versões atualizadas do Adobe Reader podem estar vulneráveis ao ataque.
Além da coleta de dados, o malware também é capaz de enviar as informações para servidores externos e baixar novos trechos de código JavaScript para execução, ampliando o alcance do ataque.
Esse comportamento permite desde a coleta detalhada de informações do dispositivo até a realização de técnicas avançadas de identificação do ambiente, preparando o terreno para ações posteriores mais direcionadas.
Até o momento, não foi possível identificar completamente o funcionamento das etapas seguintes do ataque, já que nem todos os testes conseguiram acionar o envio de cargas adicionais pelos servidores remotos.
Mesmo assim, o nível de sofisticação da ameaça e o uso de uma falha ainda não corrigida colocam a comunidade de segurança em alerta, principalmente pelo potencial de evolução desses ataques nos próximos meses.
