Vulnerabilidade Zero-Day

Desde dezembro de 2025, atacantes têm explorado uma vulnerabilidade zero-day desconhecida no Adobe Reader, utilizando documentos PDF maliciosos. A descoberta, feita por Haifei Li da EXPMON, revela um exploit sofisticado que se apresenta como um arquivo chamado ‘Invoice540.pdf’, que foi inicialmente detectado na plataforma VirusTotal em novembro de 2025. Os documentos PDF contêm elementos de engenharia social, atraindo usuários a abri-los. Ao serem executados, eles acionam um JavaScript ofuscado que coleta dados sensíveis e pode receber cargas adicionais. Os pesquisadores observaram que os arquivos estão em russo e fazem referência a eventos atuais da indústria de petróleo e gás na Rússia. A vulnerabilidade permite a execução de APIs privilegiadas do Acrobat e já foi confirmada na versão mais recente do Adobe Reader. O exploit pode exfiltrar informações para um servidor remoto e executar código adicional, aumentando o risco de coleta de dados e execução remota de código. A situação exige atenção da comunidade de segurança, pois a exploração dessa vulnerabilidade pode levar a consequências graves.

Um grupo de ameaças cibernéticas, identificado como UAT-8837 e possivelmente vinculado à China, tem se concentrado em atacar setores de infraestrutura crítica na América do Norte desde o ano passado. A Cisco Talos, que monitora essa atividade, acredita que o grupo possui um nível médio de confiança em sua ligação com ameaças persistentes avançadas (APT) da região. O UAT-8837 utiliza técnicas como exploração de vulnerabilidades em servidores e credenciais comprometidas para obter acesso inicial a organizações de alto valor. Recentemente, o grupo explorou uma vulnerabilidade zero-day crítica no Sitecore (CVE-2025-53690, CVSS 9.0) para realizar uma intrusão. Após conseguir acesso, o grupo realiza reconhecimento preliminar e desabilita recursos de segurança, como o RestrictedAdmin para o Remote Desktop Protocol (RDP). O UAT-8837 também utiliza ferramentas de código aberto para coletar informações sensíveis e criar múltiplos canais de acesso. A atividade do grupo levanta preocupações sobre a segurança da cadeia de suprimentos e a possibilidade de engenharia reversa de produtos. As agências de segurança cibernética de vários países ocidentais têm alertado sobre as ameaças crescentes a ambientes de tecnologia operacional (OT), enfatizando a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança da Palo Alto Networks, através da Unidade 42, identificaram uma campanha sofisticada de spyware para Android, chamada LANDFALL, que explora uma vulnerabilidade crítica zero-day em dispositivos Samsung Galaxy. Essa vulnerabilidade, identificada como CVE-2025-21042, reside na biblioteca de processamento de imagens da Samsung e permite que atacantes realizem operações de vigilância avançadas. O malware foi disseminado por meio de imagens maliciosas enviadas pelo WhatsApp, que aparentavam ser arquivos comuns, mas continham código malicioso embutido. Essa técnica de ataque é semelhante a cadeias de exploração observadas anteriormente em dispositivos iOS. O LANDFALL é capaz de gravar áudio, interceptar chamadas, rastrear localização e coletar dados pessoais, como fotos e mensagens. A campanha, que começou em meados de 2024, foi descoberta enquanto os pesquisadores investigavam uma cadeia de exploração paralela para iOS. A Samsung lançou um patch para a vulnerabilidade em abril de 2025, mas a campanha permaneceu ativa por meses, destacando a complexidade das operações de spyware comercial. A análise sugere conexões com atores de ameaças do Oriente Médio, especialmente com o grupo Stealth Falcon, conhecido por operar nos Emirados Árabes Unidos.

Um relatório da Microsoft revelou que hackers estão utilizando uma versão modificada do aplicativo desktop do ChatGPT para disseminar um trojan de acesso remoto conhecido como Pipemagic. Este malware, desenvolvido pelo grupo de cibercriminosos Storm-2460, tem como alvo setores como imobiliário, financeiro e tecnológico em várias regiões, incluindo América do Sul, América do Norte, Europa e Oriente Médio. A gravidade da situação é acentuada pela combinação de um backdoor modular, que permite acesso direto aos sistemas comprometidos, e uma vulnerabilidade zero-day (CVE-2025-29824) no Windows, que ainda não possui correção. A Kaspersky também alertou sobre a campanha, destacando casos na Arábia Saudita e na Ásia. Os ataques podem resultar no vazamento de dados pessoais, credenciais e informações financeiras, além da instalação de ransomware que criptografa arquivos e exige pagamento para recuperação. A recomendação é que os usuários evitem baixar arquivos ou executar programas de fontes desconhecidas, especialmente aqueles que imitam softwares populares como o ChatGPT.