Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas
Resecurity/Divulgação

Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas

Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas – Canaltech

Uma nova cepa de malwares, batizada de PDFSIDER pelos pesquisadores de segurança da empresa Resecurity, foi descoberta e é voltada ao acesso furtivo e a longo prazo de sistemas comprometidos. O vírus é entregue via carregamento lateral de Bibliotecas de Link Dinâmicas (DLL), e instalada uma backdoor encriptada enquanto evita a ação de antivírus.

Tudo começa com spear-phishing por e-mail, com mensagens que entregam um arquivo ZIP contendo um executável legítimo e assinado digitalmente de nome “PDF24 App”. Ele imita um software de criação de PDFs conhecido, mas, quando executado, não mostra interface visível, mas já está rodando no fundo do sistema.

Como o PDFSIDER ameaça a vítima

Fraquezas no aplicativo legítimo de PDF permitem que o carregamento lateral de DLLs seja realizado: os hackers trazem o arquivo malicioso cryptbase.dll e o colocam junto ao executável, fazendo com que o programa carregue-o ao invés da biblioteca genuína do sistema. Assim, o PDFSIDER contorna diversos antivírus e até mesmo soluções mais poderosas, como as EDRs.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Uma ferramenta legítima de edição de PDF acabou sendo explorada para realizar ações maliciosas no computador das vítimas (Imagem: Fabrício Calixto/Canaltech)
Uma ferramenta legítima de edição de PDF acabou sendo explorada para realizar ações maliciosas no computador das vítimas (Imagem: Fabrício Calixto/Canaltech)

No centro do aplicativo há um canal de comando e controle (C2) que se conecta diretamente aos golpistas. É embutida uma biblioteca criptográfica Botan que usa AES-256-GCM para garantir que a comunicação hacker seja confidencial e resistente a ameaças. Os comandos são executados via cmd.exe sem janelas de console visíveis, e canais anônimos são usados para transmitir a informação de volta aos atacantes com encriptação, tudo feito na memória.

Para evitar a detecção por aplicativos de segurança, o PDFSIDER checa os níveis de memória do sistema para identificar máquinas virtuais ou sandboxes e para de funcionar imediatamente se algo estiver errado. Ele também consegue notar se debuggers estão sendo usados e usa tráfego DNS no port 53 para levar dados por uma estrutura VPS alugada.

A ameaça não é entregue para usuários em massa, mas sim bastante direcionada: documentos falsos usados como isca para as vítimas incluem supostos arquivos internos de organizações de inteligência da República Popular da China.

Leia ainda no Canaltech:

VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts

Leia a matéria no Canaltech.

Source link

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 62664

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights