Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas
Uma nova cepa de malwares, batizada de PDFSIDER pelos pesquisadores de segurança da empresa Resecurity, foi descoberta e é voltada ao acesso furtivo e a longo prazo de sistemas comprometidos. O vírus é entregue via carregamento lateral de Bibliotecas de Link Dinâmicas (DLL), e instalada uma backdoor encriptada enquanto evita a ação de antivírus.
Tudo começa com spear-phishing por e-mail, com mensagens que entregam um arquivo ZIP contendo um executável legítimo e assinado digitalmente de nome “PDF24 App”. Ele imita um software de criação de PDFs conhecido, mas, quando executado, não mostra interface visível, mas já está rodando no fundo do sistema.
Como o PDFSIDER ameaça a vítima
Fraquezas no aplicativo legítimo de PDF permitem que o carregamento lateral de DLLs seja realizado: os hackers trazem o arquivo malicioso cryptbase.dll e o colocam junto ao executável, fazendo com que o programa carregue-o ao invés da biblioteca genuína do sistema. Assim, o PDFSIDER contorna diversos antivírus e até mesmo soluções mais poderosas, como as EDRs.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
No centro do aplicativo há um canal de comando e controle (C2) que se conecta diretamente aos golpistas. É embutida uma biblioteca criptográfica Botan que usa AES-256-GCM para garantir que a comunicação hacker seja confidencial e resistente a ameaças. Os comandos são executados via cmd.exe sem janelas de console visíveis, e canais anônimos são usados para transmitir a informação de volta aos atacantes com encriptação, tudo feito na memória.
Para evitar a detecção por aplicativos de segurança, o PDFSIDER checa os níveis de memória do sistema para identificar máquinas virtuais ou sandboxes e para de funcionar imediatamente se algo estiver errado. Ele também consegue notar se debuggers estão sendo usados e usa tráfego DNS no port 53 para levar dados por uma estrutura VPS alugada.
A ameaça não é entregue para usuários em massa, mas sim bastante direcionada: documentos falsos usados como isca para as vítimas incluem supostos arquivos internos de organizações de inteligência da República Popular da China.
Leia ainda no Canaltech:
- Mais 16 extensões maliciosas da campanha hacker GhostPoster foram encontradas
- Verificação de idade no Pornhub gera bloqueio da plataforma nos EUA e na França
- Convite do mal: Calendário do Google tem falha exposta através do Gemini
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Leia a matéria no Canaltech.
O que achou dessa notícia? Deixe um comentário abaixo e/ou compartilhe em suas redes sociais. Assim conseguiremos informar mais pessoas sobre as curiosidades do mundo!
Esta notícia foi originalmente publicada em:
Fonte original
