Uma nova ameaça cibernética, identificada como PDFSIDER, tem chamado a atenção de especialistas em segurança digital. Descoberta pela empresa Resecurity, essa cepa de malware se disfarça de software legítimo para ganhar acesso contínuo e furtivo a sistemas comprometidos. Além disso, o PDFSIDER utiliza técnicas avançadas de evasão, como o carregamento lateral de Bibliotecas de Link Dinâmicas (DLL), para instalar uma backdoor encriptada e evitar a detecção por antivírus.
Como o PDFSIDER Infecta os Sistemas
O ataque começa com uma campanha de spear-phishing por e-mail, na qual as vítimas recebem mensagens contendo um arquivo ZIP. Dentro desse arquivo, há um executável assinado digitalmente chamado “PDF24 App”, que imita um software legítimo de edição de PDFs. No entanto, ao ser executado, o programa não exibe nenhuma interface visível, mas já está operando em segundo plano.
Os hackers exploram fraquezas no aplicativo legítimo para realizar o carregamento lateral de DLLs. Eles substituem a biblioteca genuína cryptbase.dll por uma versão maliciosa, que é carregada pelo sistema em vez da original. Dessa forma, o PDFSIDER consegue contornar não apenas antivírus convencionais, mas também soluções mais robustas, como EDRs (Endpoint Detection and Response).
Mecanismos de Ação e Evasão
Uma vez instalado, o PDFSIDER estabelece um canal de comando e controle (C2) que se conecta diretamente aos atacantes. Para garantir a confidencialidade das comunicações, o malware utiliza a biblioteca criptográfica Botan, que emprega o algoritmo AES-256-GCM. Os comandos são executados via cmd.exe sem janelas visíveis, e os dados são transmitidos de volta aos hackers por meio de canais anônimos e encriptados, tudo na memória do sistema.
Para evitar a detecção, o PDFSIDER realiza verificações nos níveis de memória do sistema, identificando máquinas virtuais ou sandboxes. Caso detecte um ambiente suspeito, o malware interrompe sua execução imediatamente. Além disso, ele consegue identificar a presença de debuggers e utiliza tráfego DNS na porta 53 para enviar dados por meio de uma estrutura VPS alugada.
Alvos e Táticas de Engenharia Social
Diferentemente de malwares convencionais, o PDFSIDER não é distribuído em massa. Em vez disso, os atacantes adotam uma abordagem direcionada, utilizando documentos falsos como isca. Esses arquivos incluem supostos documentos internos de organizações de inteligência da República Popular da China, o que sugere um possível foco em alvos estratégicos.
Como Se Proteger do PDFSIDER
Para mitigar os riscos associados ao PDFSIDER, é essencial adotar medidas de segurança robustas. Primeiramente, evite abrir arquivos de fontes desconhecidas, especialmente aqueles recebidos por e-mail. Além disso, mantenha seus sistemas e softwares atualizados, pois correções de segurança podem fechar brechas exploradas por malwares. Por fim, utilize soluções de segurança avançadas, como EDRs, que são capazes de detectar comportamentos suspeitos em tempo real.
Em conclusão, o PDFSIDER representa uma ameaça significativa devido à sua capacidade de evasão e ao seu método de distribuição direcionada. Portanto, a conscientização e a adoção de práticas de segurança cibernética são fundamentais para proteger sistemas e dados contra essa e outras ameaças emergentes.