Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas

Uma nova cepa de malwares, batizada de PDFSIDER pelos pesquisadores de segurança da empresa Resecurity, foi descoberta e é voltada ao acesso furtivo e a longo prazo de sistemas comprometidos. O vírus é entregue via carregamento lateral de Bibliotecas de Link Dinâmicas (DLL), e instalada uma backdoor encriptada enquanto evita a ação de antivírus.

• O que é phishing e como se proteger?
• O que são golpes spear phishing?

Tudo começa com spear-phishing por e-mail, com mensagens que entregam um arquivo ZIP contendo um executável legítimo e assinado digitalmente de nome “PDF24 App”. Ele imita um software de criação de PDFs conhecido, mas, quando executado, não mostra interface visível, mas já está rodando no fundo do sistema.

Como o PDFSIDER ameaça a vítima

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Fraquezas no aplicativo legítimo de PDF permitem que o carregamento lateral de DLLs seja realizado: os hackers trazem o arquivo malicioso cryptbase.dll e o colocam junto ao executável, fazendo com que o programa carregue-o ao invés da biblioteca genuína do sistema. Assim, o PDFSIDER contorna diversos antivírus e até mesmo soluções mais poderosas, como as EDRs.

No centro do aplicativo há um canal de comando e controle (C2) que se conecta diretamente aos golpistas. É embutida uma biblioteca criptográfica Botan que usa AES-256-GCM para garantir que a comunicação hacker seja confidencial e resistente a ameaças. Os comandos são executados via cmd.exe sem janelas de console visíveis, e canais anônimos são usados para transmitir a informação de volta aos atacantes com encriptação, tudo feito na memória.

Para evitar a detecção por aplicativos de segurança, o PDFSIDER checa os níveis de memória do sistema para identificar máquinas virtuais ou sandboxes e para de funcionar imediatamente se algo estiver errado. Ele também consegue notar se debuggers estão sendo usados e usa tráfego DNS no port 53 para levar dados por uma estrutura VPS alugada.

A ameaça não é entregue para usuários em massa, mas sim bastante direcionada: documentos falsos usados como isca para as vítimas incluem supostos arquivos internos de organizações de inteligência da República Popular da China.

Leia ainda no Canaltech:

• Mais 16 extensões maliciosas da campanha hacker GhostPoster foram encontradas
• Verificação de idade no Pornhub gera bloqueio da plataforma nos EUA e na França
• Convite do mal: Calendário do Google tem falha exposta através do Gemini

VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts

Fonte: Resecurity