novo malware se esconde dentro de editor de PDF

Pesquisadores da Resecurity identificaram um novo malware sofisticado, o PÁGINAS PDFque utiliza um editor de PDF legítimo como fachada para invadir sistemas sem ser detectado. Este malware estabelece um acesso persistente e furtivo aos computadores infectados, contornando mecanismos de defesa como antivírus e soluções EDR (Endpoint Detection and Response).

O ataque começa com e-mails de spear-phishing direcionados contendo um arquivo ZIP. No interior deste pacote encontra-se um executável com assinatura digital legítima chamado “PDF24 App”, que simula ser uma ferramenta genuína de edição de PDF. Quando a vítima executa este arquivo, não há interface visível, mas o malware já está operando silenciosamente nos bastidores do sistema.

O PDFSIDER explora uma vulnerabilidade conhecida como carregamento lateral de DLL (Dynamic Link Libraries). Os atacantes posicionam estrategicamente um arquivo malicioso chamado cryptbase.dll junto ao executável do editor de PDF. Quando o programa é iniciado, ele carrega esta biblioteca comprometida em vez da versão legítima do Windows, permitindo que o malware opere sem levantar suspeitas.

No coração da operação está um sistema de comando e controle (C2) que estabelece comunicação criptografada com os servidores dos criminosos. O malware utiliza a biblioteca criptográfica Botan com algoritmo AES-256-GCM para garantir que todas as comunicações permaneçam confidenciais e resistentes a interceptações. Os comandos são executados via cmd.exe sem abrir janelas visíveis, e toda a atividade maliciosa ocorre diretamente na memória do sistema.

Para evitar detecção, o PDFSIDER implementa técnicas sofisticadas de evasão. O malware monitora os níveis de memória para identificar ambientes virtualizados ou sandboxes, interrompendo sua execução imediatamente caso detecte estar sendo analisado. Além disso, verifica a presença de debuggers e utiliza tráfego DNS na porta 53 para exfiltrar dados através de uma infraestrutura VPS alugada.

Diferente de campanhas massivas, os ataques com PDFSIDER são altamente direcionados. Os documentos usados como isca incluem supostos arquivos internos de organizações de inteligência da República Popular da China, sugerindo motivações de espionagem ou operações de inteligência entre países.

Você também pode gostar dos artigos abaixo:

DarkGate: o malware que transforma vítimas em cúmplices sem perceber

Malware DCRat se disfarça de Adobe para roubar dados e espionar usuários