PDFSider: Malware sucht langfristigen Zugriff auf Windows-Systeme
Sicherheitsforscher haben eine neue Schadsoftware entdeckt, mit der sich Angreifer möglichst unbemerkt einen langfristigen Zugang zu Windows-Systemen sichern wollen. Der Schadcode wurde auf den Titel "PDFSider" getauft.
Nach Angaben des Sicherheitsunternehmens Resecurity kombinierten die Täter technische Raffinesse mit klassischem Social Engineering. In ersten Phasen der Angriffe gaben sie sich als Mitarbeiter des technischen Supports aus und versuchten, Beschäftigte dazu zu bewegen, das Microsoft-Tool "Quick Assist" zu installieren. Auf diese Weise wollten sie Fernzugriff auf interne Systeme erlangen.
Die eigentliche Schadsoftware wurde jedoch vor allem über gezielte Phishing-E-Mails verbreitet. Diese enthielten ZIP-Archive mit einer scheinbar harmlosen, digital signierten Anwendung: dem PDF24 Creator des deutschen Herstellers Miron Geek Software. Dem Paket war allerdings eine manipulierte DLL-Datei beigefügt, die beim Start des Programms automatisch geladen wurde. Diese als DLL-Side-Loading bekannte Technik ermöglichte es den Angreifern, eigenen Code auszuführen, ohne sofort aufzufallen.
In manchen Fällen setzten die Täter zusätzlich auf speziell angepasste Köderdokumente, um die Glaubwürdigkeit zu erhöhen. So wurde etwa ein Dokument verwendet, das angeblich von einer chinesischen Regierungsstelle stammte. Einmal gestartet, lief die Schadsoftware mit den Rechten der legitimen Anwendung und konnte so Sicherheitsmechanismen umgehen. Laut Resecurity nutzten die Angreifer bekannte Schwachstellen der PDF24-Software gezielt aus, um Erkennungs- und Abwehrsysteme zu umgehen.
Resecurity stuft PDFSider als besonders gefährlich ein, da die Malware eher an Werkzeuge staatlicher Spionagekampagnen erinnert als an typische, rein finanziell motivierte Schadsoftware. Sie eigne sich für verdeckte Langzeitoperationen und werde inzwischen von mehreren Ransomware-Gruppen aktiv genutzt.
Siehe auch:
Raffinierte Strategie
Die Malware wird hauptsächlich gezielt bei Angriffen auf große Unternehmen aus dem Finanzsektor eingesetzt. So wurden bereits mehrere Attacken auf Firmen aus der Fortune-100-Gruppe registriert. Ziel der Angreifer war es, sich unbemerkt langfristigen Zugriff auf Windows-Systeme zu verschaffen und darüber weitere Schadprogramme, etwa Ransomware, nachzuladen.Nach Angaben des Sicherheitsunternehmens Resecurity kombinierten die Täter technische Raffinesse mit klassischem Social Engineering. In ersten Phasen der Angriffe gaben sie sich als Mitarbeiter des technischen Supports aus und versuchten, Beschäftigte dazu zu bewegen, das Microsoft-Tool "Quick Assist" zu installieren. Auf diese Weise wollten sie Fernzugriff auf interne Systeme erlangen.
Die eigentliche Schadsoftware wurde jedoch vor allem über gezielte Phishing-E-Mails verbreitet. Diese enthielten ZIP-Archive mit einer scheinbar harmlosen, digital signierten Anwendung: dem PDF24 Creator des deutschen Herstellers Miron Geek Software. Dem Paket war allerdings eine manipulierte DLL-Datei beigefügt, die beim Start des Programms automatisch geladen wurde. Diese als DLL-Side-Loading bekannte Technik ermöglichte es den Angreifern, eigenen Code auszuführen, ohne sofort aufzufallen.
In manchen Fällen setzten die Täter zusätzlich auf speziell angepasste Köderdokumente, um die Glaubwürdigkeit zu erhöhen. So wurde etwa ein Dokument verwendet, das angeblich von einer chinesischen Regierungsstelle stammte. Einmal gestartet, lief die Schadsoftware mit den Rechten der legitimen Anwendung und konnte so Sicherheitsmechanismen umgehen. Laut Resecurity nutzten die Angreifer bekannte Schwachstellen der PDF24-Software gezielt aus, um Erkennungs- und Abwehrsysteme zu umgehen.
Schutz vor Entdeckung
PDFSider arbeitet weitgehend speicherbasiert und hinterlässt kaum Spuren auf der Festplatte. Befehle werden über anonyme Pipes ausgeführt, während Systeminformationen über DNS-Verbindungen an Server der Angreifer übertragen werden. Die Kommunikation ist stark verschlüsselt, unter anderem mit AES-256-GCM, und zusätzlich durch moderne Authentifizierungsverfahren abgesichert. Mehrere Schutzmechanismen sorgen dafür, dass sich die Malware bei Analyseversuchen oder in virtuellen Umgebungen selbst beendet.Resecurity stuft PDFSider als besonders gefährlich ein, da die Malware eher an Werkzeuge staatlicher Spionagekampagnen erinnert als an typische, rein finanziell motivierte Schadsoftware. Sie eigne sich für verdeckte Langzeitoperationen und werde inzwischen von mehreren Ransomware-Gruppen aktiv genutzt.
Zusammenfassung
- PDFSider infiltriert Windows-Systeme großer Finanzunternehmen unauffällig
- Angreifer nutzen Social Engineering und gefälschten technischen Support
- Über Phishing-Mails verbreitete ZIP-Archive enthalten manipulierte DLL-Dateien
- Die Schadsoftware arbeitet speicherbasiert und hinterlässt kaum Festplattenspuren
- Hochverschlüsselte Kommunikation erfolgt über DNS-Verbindungen zu Angreifern
- Malware ähnelt staatlichen Spionagewerkzeugen und ermöglicht Langzeitoperationen
- Mehrere Ransomware-Gruppen nutzen PDFSider bereits für ihre Angriffe
Siehe auch:
Thema:
Beliebte PDF-Downloads
Videos zum Thema PDF
Acrobat Pro 2020 im Preisvergleich
Beiträge aus dem Forum
-
die Version 1.2.0 von KillerPDF
d-hubs -
Welcher Prozessor Ram etc für PDF Tech. Zeichnung
koubi -
Acrobat X startet nicht mehr unter Win10
Biedermeyer -
.pdf filtern und löschen
DON666 -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
PDF-Datei speichern
Pregos -
Im UZ-Sinn gedrehte PDF-Dokumente speichern
synthhier -
PDF / HTML teilweise ausdrucken
joe13
Weiterführende Links
Neue Nachrichten
- EU-Kommission lässt Initiative zum Schutz älterer Videospiele abblitzen
- Wallpaper Engine: Hintergründe gefährden Steam-Gamer durch Malware
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon