Entrar
bukib
0 bukibs
Columbus, Ohio
Hora local: 12:15
Temperatura: -2.8°C
Probabilidade de chuva: 0%

Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas

Novo Malware Finge Ser Editor de PDF para Ganhar Acesso Contínuo a PC de Vítimas

Uma nova cepa de malware, batizada de PDFSIDER, foi descoberta pelos pesquisadores de segurança da empresa Resecurity. Essa ameaça é voltada ao acesso furtivo e a longo prazo de sistemas comprometidos, utilizando uma técnica de carregamento lateral de Bibliotecas de Link Dinâmicas (DLL) para instalar uma backdoor encriptada e evitar a detecção por antivírus.

O processo começa com um ataque de spear-phishing por e-mail, onde as vítimas recebem mensagens com arquivos ZIP contendo um executável legítimo e assinado digitalmente, chamado “PDF24 App”. Esse arquivo imita um software de criação de PDFs conhecido, mas, quando executado, não mostra interface visível e já começa a rodar em segundo plano no sistema.

Como o PDFSIDER Ameaça a Vítima

O PDFSIDER explora fraquezas no aplicativo legítimo de PDF para realizar o carregamento lateral de DLLs. Os hackers colocam o arquivo malicioso “cryptbase.dll” junto ao executável, fazendo com que o programa carregue-o em vez da biblioteca genuína do sistema. Isso permite que o malware contorne diversos antivírus e soluções de segurança mais poderosas.

No centro do aplicativo, há um canal de comando e controle (C2) que se conecta diretamente aos golpistas, utilizando uma biblioteca criptográfica para garantir que a comunicação seja confidencial e resistente a ameaças. Os comandos são executados via cmd.exe sem janelas de console visíveis, e canais anônimos são usados para transmitir informações de volta aos atacantes com encriptação.

Para evitar a detecção por aplicativos de segurança, o PDFSIDER checa os níveis de memória do sistema para identificar máquinas virtuais ou sandboxes e para de funcionar imediatamente se algo estiver errado. Ele também consegue notar se debuggers estão sendo usados e usa tráfego DNS para levar dados por uma estrutura VPS alugada.

A ameaça não é entregue para usuários em massa, mas sim bastante direcionada, utilizando documentos falsos como isca para as vítimas. Esses documentos incluem supostos arquivos internos de organizações de inteligência da República Popular da China.

É fundamental que os usuários estejam cientes dessas ameaças e tomem medidas para se proteger, como evitar abrir arquivos de fontes desconhecidas e manter seus sistemas e aplicativos de segurança atualizados.

Este conteúdo pode conter links de compra.

Fonte: link