'PDFSider' malware treft Fortune 100-bedrijf in financiële sector
Ransomware-aanvallers hebben een nieuw, geraffineerd type malware genaamd 'PDFSider' ingezet tijdens een gerichte aanval op een Fortune 100-bedrijf. Onderzoekers van Resecurity ontdekten de malware, die wordt omschreven als een uiterst stealthy backdoor voor langdurige toegang.
De aanval begon met social engineering, waarbij aanvallers zich voordeden als technische ondersteuning om medewerkers te verleiden de Microsoft Quick Assist-tool te installeren zo meldt Bleepingcomputer.
PDFSider zelf wordt verspreid via spearphishing-mails met een ZIP-archief. Dit archief bevat een legitiem, digitaal ondertekend bestand van de tool PDF24 Creator, maar maakt misbruik van 'DLL side-loading'. Hierbij laadt het legitieme programma een kwaadaardig bibliotheekbestand (cryptbase.dll) in, waardoor beveiligingssystemen (EDR) worden omzeild.
De malware is technisch hoogstaand: het draait vrijwel volledig in het geheugen om sporen op de harde schijf te minimaliseren en versleutelt communicatie met de aansturingsserver via de Botan-bibliotheek (AES-256-GCM). Volgens Resecurity vertoont PDFSider kenmerken van spionagesoftware (APT) in plaats van louter financieel gewin, gericht op het behouden van een onzichtbare ingang in het netwerk. Inmiddels wordt de malware ook gelinkt aan Qilin-ransomwaregroepen.
