O setor financeiro está sob a mira de uma nova campanha cibernética sofisticada que combina engenharia social com técnicas avançadas de ocultação. Investigadores de segurança identificaram uma estirpe de malware, denominada PDFSider, que foi utilizada para atacar uma empresa da lista Fortune 100. O método destaca-se por utilizar software legítimo e assinaturas digitais válidas para contornar as defesas de sistemas Windows.
Os atacantes começam a incursão através de engenharia social, fazendo-se passar por técnicos de suporte informático. O objetivo é convencer os funcionários da empresa alvo a instalar a ferramenta Quick Assist da Microsoft, garantindo assim acesso remoto ao sistema. No entanto, a verdadeira "arma" chega via email de phishing, contendo um arquivo ZIP que aparenta ser inofensivo.
O disfarce perfeito através de DLL side-loading
A grande inovação do PDFSider reside na forma como executa o código malicioso sem levantar suspeitas. O pacote enviado contém o executável legítimo e assinado digitalmente do software PDF24 Creator. No entanto, junto com este ficheiro inócuo, os atacantes incluem uma versão maliciosa de uma biblioteca DLL (cryptbase.dll) que a aplicação necessita para funcionar.
Quando o utilizador executa o software de PDF, este carrega automaticamente a biblioteca manipulada, uma técnica conhecida como DLL side-loading. Isto permite que o código malicioso seja executado com os mesmos privilégios do software legítimo, contornando eficazmente muitos sistemas de deteção e resposta (EDR). Os investigadores notam que a facilidade em encontrar software vulnerável a este tipo de exploração tem aumentado, impulsionada pelo uso de ferramentas de inteligência artificial por parte dos cibercriminosos.
Furtividade e ligações ao ransomware
Uma vez ativo, o PDFSider demonstra características típicas de ferramentas de espionagem avançada. O malware carrega-se diretamente na memória do sistema, deixando mínimos vestígios no disco rígido, e utiliza canais encriptados para comunicar com os servidores de comando e controlo. A exfiltração de dados é feita de forma discreta através de pedidos DNS, dificultando a monitorização do tráfego de rede.
Embora a ferramenta tenha sido associada a ataques do grupo de ransomware Qilin, a sua estrutura sugere um foco em acesso a longo prazo e espionagem, mais do que a destruição imediata de dados. O malware inclui mecanismos de defesa que detetam se está a ser analisado por investigadores ou a correr em ambientes de teste (sandboxes), encerrando-se automaticamente para evitar a descoberta, segundo a análise detalhada publicada pela Resecurity.
Nenhum comentário
Seja o primeiro!