Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New PDFSider Windows malware deployed on Fortune 100 firms network

2 minute de lecture

Mis à jour :

PDFSider : une nouvelle menace furtive ciblant les entreprises

Une nouvelle souche de malware, baptisée PDFSider, est utilisée par des acteurs de menaces pour déployer des charges utiles malveillantes sur les systèmes Windows. Cette menace a été détectée lors d’une réponse à incident visant une entreprise du secteur financier classée dans le Fortune 100.

Les attaquants emploient des tactiques d’ingénierie sociale, se faisant passer pour des techniciens de support afin de tromper les employés et les inciter à installer l’outil Microsoft Quick Assist.

PDFSider se présente comme une porte dérobée (backdoor) furtive, conçue pour un accès à long terme et présentant des caractéristiques d’APT (menaces persistantes avancées). Bien qu’il ait été associé à des attaques de ransomware Qilin, il est activement utilisé par plusieurs groupes de ransomware pour lancer leurs attaques.

Points clés :

  • Technique de livraison : Le malware est distribué via des e-mails de spearphishing contenant une archive ZIP. Celle-ci inclut un exécutable légitime et signé numériquement du logiciel PDF24 Creator, mais aussi une version malveillante d’une DLL (cryptbase.dll) nécessaire à son fonctionnement.
  • Exploitation : L’exécutable légitime charge la DLL malveillante lors de son exécution, une technique connue sous le nom de “DLL side-loading”, permettant l’exécution de code arbitraire sur le système. Les vulnérabilités du logiciel PDF24 Creator sont exploitées pour contourner les systèmes de détection et de réponse (EDR).
  • Furtivité : PDFSider s’exécute directement en mémoire, laissant peu d’indices sur le disque. Il utilise des “anonymous pipes” pour exécuter des commandes via CMD et communique avec son serveur de commande et contrôle (C2) via le protocole DNS (port 53) pour exfiltrer des informations système.
  • Sécurité et obfuscation : Le malware utilise la bibliothèque cryptographique Botan 3.0.0 et AES-256-GCM pour chiffrer ses communications C2, assurant la confidentialité et l’intégrité des échanges. Il intègre également des mécanismes anti-analyse pour détecter et éviter les environnements de sandbox.
  • Objectif : PDFSider est conçu pour maintenir un accès discret et à long terme, plus proche des activités d’espionnage que des ransomwares classiques, offrant une exécution de commandes à distance flexible et des communications chiffrées.

Vulnérabilités :

  • L’article ne mentionne pas de CVE spécifiques pour les vulnérabilités exploitées par PDFSider. Il indique que des vulnérabilités au sein du logiciel PDF24 Creator ont été exploitées, permettant le chargement de la DLL malveillante.

Recommandations :

  • Bien que l’article se concentre sur la description du malware, les implications impliquent la nécessité de maintenir à jour les logiciels, y compris les applications tierces comme PDF24 Creator, pour corriger les vulnérabilités connues.
  • La détection et la prévention du DLL side-loading sont cruciales.
  • La surveillance du trafic réseau, notamment les communications DNS sortantes inhabituelles, peut aider à identifier les activités de PDFSider.
  • Les mesures de sécurité robustes contre l’ingénierie sociale et les e-mails de phishing sont essentielles.

Source

Vous pourriez aimer