Primero ayudan, luego te roban: cómo los hackers convirtieron Microsoft Quick Assist en un caballo de Troya
Resultó sorprendentemente fácil para PDFSider acceder a los datos corporativos.
En una de las redes de una empresa del listado Fortune 100 que opera en el sector financiero se detectó un nuevo malware llamado PDFSider. El hallazgo ocurrió durante la respuesta a un incidente relacionado con un ataque mediante ransomware. Como descubrió el equipo de Resecurity, la herramienta maliciosa está diseñada para establecer acceso persistente a los sistemas infectados y muestra indicios característicos de tácticas de ataques dirigidos.
Los atacantes actuaron mediante ingeniería social, haciéndose pasar por personal de soporte técnico. Convencieron a los empleados para que instalaran la utilidad Microsoft Quick Assist, lo que permitió a los atacantes obtener acceso remoto a los dispositivos.
PDFSider se propaga a través de correos de phishing que contienen un archivo ZIP con el ejecutable legítimo PDF24 Creator de la empresa alemana Miron Geek Software GmbH. Junto con ese archivo en el ZIP se añadía un módulo malicioso: una biblioteca cryptbase.dll modificada. Al ejecutar el archivo principal, el sistema cargaba la DLL de los atacantes — método conocido como carga lateral de DLL. Esto permitía ejecutar código malicioso de forma sigilosa bajo la apariencia de un proceso de confianza.
Aunque el ejecutable principal está firmado digitalmente, el software PDF24 contiene vulnerabilidades que permitieron evadir las defensas a nivel de detección de amenazas. Según los especialistas, estas aplicaciones vulnerables son más fáciles de encontrar para los atacantes gracias al uso de herramientas basadas en inteligencia artificial.
La carga de PDFSider se realiza directamente en la memoria RAM, lo que minimiza las huellas en disco. El malware utiliza canales anónimos para ejecutar comandos a través de CMD y asigna a cada equipo infectado un identificador único. Los datos del sistema se envían a un servidor remoto mediante DNS por el puerto 53.
Para proteger el canal de mando, PDFSider emplea la biblioteca criptográfica Botan 3.0.0 y cifrado AES-256-GCM. Los datos se descifran directamente en memoria, y para la autenticación de los mensajes se usa el algoritmo AEAD en modo GCM. Estos métodos se observan con más frecuencia en programas de espionaje con capacidades de control remoto, donde es crítico mantener la confidencialidad de las comunicaciones.
Además, PDFSider incluye mecanismos anti-análisis: comprobación de la cantidad de memoria RAM y presencia de depuradores. Al detectar indicios de ejecución en un entorno aislado, la ejecución del código malicioso se interrumpe.
Los expertos consideran que la funcionalidad de PDFSider se asemeja más a herramientas de inteligencia digital que al malware típico orientado al ransomware. El programa asegura operaciones ocultas y persistentes, permitiendo controlar el sistema de forma remota y transmitir datos cifrados, permaneciendo fuera del alcance de las soluciones de seguridad.