Ataques de ransomware direcionados a uma empresa do setor financeiro, listada entre as Fortune 100, utilizaram uma nova variante de malware chamada PDFSider para entregar cargas maliciosas em sistemas Windows.
Os invasores empregaram técnicas de engenharia social, fingindo ser técnicos de suporte, para enganar funcionários da companhia e convencê-los a instalar a ferramenta Quick Assist, da Microsoft, com o objetivo de obter acesso remoto.
Especialistas da empresa de cibersegurança Resecurity descobriram o PDFSider durante uma resposta a incidentes e o classificam como um backdoor furtivo para acesso prolongado, ressaltando que ele apresenta “características típicas das táticas de APT (Advanced Persistent Threat)”.
Além disso, a equipe de threat hunting da empresa alerta que o backdoor está “ativamente usado” por diversos grupos de ransomware para executar seus payloads.
A entrega do backdoor ocorre via spearphishing, com e-mails que trazem um arquivo ZIP contendo um executável legítimo e assinado digitalmente do software PDF24 Creator, da Miron Geek Software GmbH.
No entanto, o pacote inclui também uma versão maliciosa da DLL cryptbase.dll, essencial para o funcionamento do aplicativo.
Ao executar o programa, a DLL maliciosa é carregada por meio da técnica conhecida como DLL side-loading, permitindo a execução do código do invasor no sistema.
Em outros casos, os criminosos usam documentos isca, aparentemente personalizados para as vítimas, para induzir à execução do arquivo malicioso.
Em um exemplo, o autor do documento falso é apresentado como uma entidade governamental chinesa.
Quando acionada, a DLL executa com os mesmos privilégios do executável que a carregou.
“O arquivo EXE possui assinatura legítima; entretanto, o software PDF24 possui vulnerabilidades exploradas pelos atacantes para carregar este malware e contornar sistemas EDR (Endpoint Detection and Response) de forma eficaz”, explica a Resecurity.
Os pesquisadores destacam que, com o avanço do desenvolvimento assistido por inteligência artificial, tornou-se mais fácil para criminosos identificar softwares vulneráveis para exploração.
O PDFSider é carregado diretamente na memória, deixando poucos vestígios no disco, e utiliza pipes anônimos para executar comandos via CMD.
Cada máquina infectada recebe um identificador único, e informações do sistema são coletadas e enviadas ao servidor VPS do atacante por meio do protocolo DNS (porta 53).
Para proteger a comunicação com seu servidor de comando e controle (C2), o malware usa a biblioteca de criptografia Botan 3.0.0 e criptografia AES-256-GCM, decodificando os dados em memória para reduzir rastros no host.
Além disso, os dados são autenticados com Authenticated Encryption with Associated Data (AEAD) no modo GCM.
“Essa implementação criptográfica é típica de malwares de shell remoto usados em ataques direcionados, nos quais garantir a integridade e a confidencialidade das comunicações é fundamental”, observa a Resecurity.
O malware também conta com diversos mecanismos anti-análise, como verificação do tamanho da RAM e detecção de depuradores, encerrando sua execução caso identifique que está rodando em sandbox.
Com base nas avaliações, a Resecurity classifica o PDFSider mais como uma ferramenta de espionagem do que um malware motivado financeiramente.
Ele foi projetado para atuar como um backdoor furtivo, possibilitando acesso secreto de longo prazo, execução flexível de comandos remotos e comunicação criptografada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...