Een Fortune 100-bedrijf in de financiële sector is getroffen door ransomware-aanvallers die een nieuwe malware gebruiken, genaamd PDFSider, om schadelijke programma’s op Windows-systemen te plaatsen.

De aanvallers maakten gebruik van social engineering om op afstand toegang te krijgen, door zich voor te doen als technische ondersteuning en werknemers te overtuigen om Microsoft’s Quick Assist-tool te installeren.

Onderzoekers van het cybersecuritybedrijf Resecurity ontdekten PDFSider tijdens een incidentrespons. Ze beschrijven het als een onopvallende achterdeur voor langdurige toegang, met kenmerken die doen denken aan geavanceerde APT-technieken.

### Legitieme .EXE, kwaadaardige .DLL

Een woordvoerder van Resecurity vertelde BleepingComputer dat PDFSider is waargenomen bij Qilin-ransomware-aanvallen. Het team geeft aan dat de achterdeur al “actief wordt gebruikt” door meerdere ransomware-actoren om hun aanvallen uit te voeren.

PDFSider wordt verspreid via gerichte phishing-emails met een ZIP-bestand dat een legitieme, digitaal ondertekende uitvoerbare file van de PDF24 Creator-tool bevat. Echter, het pakket bevat ook een kwaadaardige DLL-bestand (cryptbase.dll), noodzakelijk voor het goed functioneren van de applicatie.

Wanneer de uitvoerbare file draait, laadt het het DLL-bestand van de aanvaller, wat zorgt voor code-uitvoering op het systeem via de techniek DLL side-loading.

In sommige gevallen probeert de aanvaller ontvangers te misleiden met lokdocumenten die op de doelwitten zijn afgestemd. Zo gebruikten ze bijvoorbeeld een document zogenaamd afkomstig van een Chinese overheidsinstantie.

Zodra uitgevoerd, draait de DLL met de rechten van de uitvoerbare file die het laadde.

“Het EXE-bestand heeft een legitieme handtekening; echter, de PDF24-software heeft kwetsbaarheden die aanvallers konden benutten om deze malware te laden en EDR-systemen te omzeilen,” verklaart Resecurity.

Onderzoekers merken op dat het makkelijker wordt voor cybercriminelen om kwetsbare software te vinden die uitgebuit kan worden, mede door de opkomst van AI-gestuurde code.

PDFSider laadt direct in het geheugen, laat minimale schijfsporen achter en gebruikt anonieme pijpen om via CMD opdrachten uit te voeren.

Geïnfecteerde hosts krijgen een unieke identifier en systeeminformatie wordt verzameld en via DNS naar de server van de aanvaller gestuurd.

PDFSider beschermt zijn communicatie door gebruik te maken van de Botan 3.0.0 cryptografische bibliotheek en AES-256-GCM voor versleuteling, waarbij inkomende data in het geheugen wordt ontsleuteld om de sporen op het systeem te minimaliseren.

Bovendien wordt de data geauthenticeerd met Authenticatie Versleuteling met Geassocieerde Data (AEAD) in GCM-modus.

“Dit soort cryptografische implementatie is typisch voor malware die in gerichte aanvallen wordt gebruikt, waarbij het behouden van de integriteit en vertrouwelijkheid van communicatie cruciaal is,” merkt Resecurity op.

De malware heeft ook diverse anti-analyse mechanismen, zoals RAM-groottecontroles en debuggerdetectie, om vroegtijdig te stoppen bij tekenen van een sandbox-omgeving.

Volgens Resecurity neigt PDFSider meer naar “spionage technieken dan naar financieel gemotiveerde malware” en is het ontworpen als een onopvallende achterdeur die langdurig verborgen toegang kan behouden en flexibele remote command-uitvoering en versleutelde communicatie biedt.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.