Pesquisadores de segurança descobriram um exploit zero-day ativo visando o **Adobe Reader**, utilizando arquivos PDF especialmente elaborados. O exploit, identificado por Haifei Li da **EXPMON**, é descrito como um ataque sofisticado que aproveita uma vulnerabilidade previamente desconhecida. ### Descoberta e Análise O artefato malicioso, nomeado "Invoice540.pdf", foi observado pela primeira vez no **VirusTotal** em 28 de novembro de 2025. Uma segunda amostra apareceu em 23 de março de 2026. O nome do arquivo sugere um componente de engenharia social, incentivando os usuários a abrir os arquivos. Após a execução, o PDF aciona código JavaScript ofuscado projetado para coletar informações sensíveis e baixar payloads adicionais. ### Alvo e Técnicas O pesquisador de segurança Gi7w0rm observou que os documentos PDF contêm iscas em russo, referenciando eventos atuais relacionados à indústria de petróleo e gás na Rússia. Isso sugere uma campanha direcionada. De acordo com Li, o exploit atua como um ponto de entrada inicial, capaz de coletar e vazar diversos tipos de dados, potencialmente levando a exploits de Remote Code Execution (RCE) e Sandbox Escape (SBX). "A amostra atua como um exploit inicial com a capacidade de coletar e vazar vários tipos de informações, potencialmente seguido por exploits de remote code execution (RCE) e sandbox escape (SBX)", disse Li. ### Detalhes Técnicos A vulnerabilidade permite a execução de APIs privilegiadas do Acrobat, mesmo na versão mais recente do **Adobe Reader**. O exploit também inclui funcionalidade para exfiltrar dados coletados para um servidor remoto (169.40.2[.]68:45191) e receber código JavaScript adicional para execução. Este mecanismo pode permitir ataques avançados de fingerprinting e abrir caminho para explorações futuras, incluindo a entrega de exploits adicionais para alcançar execução de código ou sandbox escape. A natureza exata do exploit de próximo estágio permanece incerta, pois o servidor remoto não respondeu durante a análise. Isso pode indicar que o ambiente de teste não atendeu aos critérios para entrega de payload. ### Chamada para Ação "No entanto, essa capacidade zero-day/não corrigida para coleta ampla de informações e o potencial para exploração subsequente de RCE/SBX são suficientes para que a comunidade de segurança permaneça em alerta máximo", disse Li. ### Atualização A **Adobe** lançou atualizações de segurança para a vulnerabilidade (**CVE-2026-34621**, pontuação CVSS: 9.6). Por favor, [clique aqui para mais detalhes](https://thehackernews.com/2026/04/adobe-patches-actively-exploited.html).