Ransomwaregroepen hebben bij een recente aanval op een Fortune 100-bedrijf in de financiële sector gebruikgemaakt van een tot nu toe onbekende Windows-malware met de naam PDFSider.

De malware werd ingezet als toegangspunt om verdere schadelijke software op systemen binnen het bedrijfsnetwerk te kunnen uitvoeren. De ontdekking werd gedaan tijdens een onderzoek naar het incident door beveiligingsspecialisten. Dit meldt BleepingComputer.

De aanval begon niet met een technisch hoogstandje, maar met overtuigende sociale manipulatie. Medewerkers van het getroffen bedrijf werden telefonisch benaderd door aanvallers die zich voordeden als IT-ondersteuning. Het doel was om slachtoffers ertoe te bewegen Microsoft Quick Assist te installeren, zodat de aanvallers op afstand konden meekijken en handelen. Deze aanpak vergrootte de kans op succes, omdat de gebruikte tool legitiem is en binnen veel organisaties wordt toegestaan.

Tijdens het incidentonderzoek stuitten onderzoekers op PDFSider, een malwarevariant die is ontworpen om onopvallend langdurige toegang te behouden. De software fungeert als een backdoor en vertoont kenmerken die normaal gesproken worden gezien bij geavanceerde, gerichte aanvallen. Hoewel PDFSider is waargenomen in aanvallen die verband houden met Qilin-ransomware, lijkt het gebruik ervan niet beperkt tot één specifieke groepering. Meerdere criminele partijen maken inmiddels actief gebruik van de malware.

DLL side-loading

De verspreiding verloopt via gerichte phishingmails met een ZIP-bestand in de bijlage. In dat archief zit een legitiem, digitaal ondertekend programma dat hoort bij de PDF24 Creator-software. Daarnaast bevat het pakket een kwaadaardige DLL die door het programma wordt ingeladen. Door deze techniek, bekend als DLL side-loading, wordt de schadelijke code uitgevoerd zonder dat er direct alarmbellen afgaan bij beveiligingssoftware.

Eenmaal actief draait PDFSider grotendeels in het geheugen, waardoor er nauwelijks sporen op de harde schijf achterblijven. Het malwareproces verzamelt systeeminformatie, kent elke geïnfecteerde machine een uniek identificatienummer toe en stuurt deze gegevens via DNS-verkeer naar infrastructuur die door de aanvallers wordt beheerd. De communicatie is versleuteld met moderne cryptografische methoden, wat analyse en onderschepping bemoeilijkt.

Daarnaast bevat de malware mechanismen om analyse te ontwijken. Wanneer PDFSider merkt dat het in een gecontroleerde omgeving of sandbox draait, stopt het zichzelf voortijdig. Volgens de onderzoekers wijst dit alles erop dat de software niet primair is ontwikkeld voor snelle winst, maar voor stille, langdurige aanwezigheid binnen netwerken. Dat maakt PDFSider vooral zorgwekkend voor organisaties die vertrouwen op traditionele detectiemethoden.