Au cours des dernières semaines, les chercheurs en sécurité ont mené une campagne qui combine les techniques classiques d'ingénierie sociale avec un code de plus en plus sophistiqué : une nouvelle porte arrière nommée PDFSider est utilisé pour ouvrir des portes silencieuses dans des environnements Windows et pour faciliter les déploiements de ransomwares contre des entreprises de haute visibilité, y compris au moins une cible dans la liste Fortune 100 du secteur financier.
Le point d'entrée n'est pas une explosion cérébrale, mais un mélange calculé de leurres et d'abus de confiance. Les attaquants envoient des e-mails dirigés contenant un fichier ZIP. Dans ce ZIP vient une copie légitime et numérique de l'installateur PDF24 Creator, une application connue dont le site officiel est PDF24.org. A côté de ce lieu exécutable légitime une librairie DLL manipulée appelée cryptbase.dll; quand . EXE charge la DLL malveillante, le code de l'attaquant est exécuté dans le processus légitime. Cette technique, connue comme Laminage latéral DLL, profite de la confiance que le système et les solutions de sécurité donnent aux binaires signés.
Les détails techniques du malware ont été publiés par l'entreprise qui l'a découvert lors d'une réponse incidente. Sécurité décrit PDFSider comme une porte arrière conçue pour rester cachée et maintenir l'accès persistant, avec des fonctionnalités qui se souviennent plus de la cyberespionnage dirigé que de malware purement orienté pour obtenir un sauvetage rapide.
En plus du leurre de l'installateur, dans certaines variantes les emails portent des documents de leurre qui semblent être faits à la mesure de la victime: PDF avec de faux auteurs qui prétendaient appartenir à des entités gouvernementales pour donner de la crédibilité et augmenter la probabilité que le destinataire exécute la pièce jointe. Dans d'autres opérations, les agresseurs ont eu recours à l'ingénierie sociale en appelant, en posant comme personnel de soutien technique et en essayant de convaincre les employés d'installer des outils à distance comme l'utilitaire d'assistance de Microsoft - une manœuvre qui facilite le contrôle interactif du système avec le consentement direct de la victime.
Lorsque la DLL malveillante est chargée, hérite des permissions de l'exécutable légitime qui l'a appelé, ce qui peut permettre aux attaquants de sauter les contrôles et les mouvements côté carburant sur le réseau interne. PDFSider évite également de laisser la trace sur le disque en chargeant une grande partie de son code directement dans la mémoire et utilise des tubes anonymes pour exécuter des commandes par CMD, des techniques qui rendent difficile la détection par EDR et d'autres mécanismes basés sur l'analyse de fichiers.
La communication avec l'infrastructure de commande et de contrôle est également conçue pour camoufler : les équipes infectées reçoivent un identifiant unique, recueillent des informations système et les transmettent au serveur de l'attaquant en utilisant les requêtes DNS du port 53, un canal qui passe souvent inaperçu sur de nombreux réseaux. Pour protéger la confidentialité et l'intégrité de ces sessions, PDFSider utilise la librairie cryptographique Botan dans sa version 3.0.0 et le chiffrement AEAD avec AES-256-GCM, déchiffrant les données en mémoire pour minimiser les artefacts persistants dans l'hôte. La documentation générale de Botan est disponible à l'adresse suivante: Botan.randombit.net.
L'utilisation d'AES-GCM et d'une librairie mature comme Botan est significative: ce n'est pas l'improvisation d'un script kiddie, mais une implémentation visant à garder les communications sûres et résistantes à l'analyse. De plus, les logiciels malveillants intègrent des mesures anti-analyse telles que les contrôles de taille RAM et le débogage de la détection pour annuler son exécution s'il semble fonctionner à l'intérieur d'un bac à sable ou dans un environnement de recherche.
La sécurité souligne que PDFSider a été observé dans des attaques liées à Qilin Ransomware, bien que son équipe de recherche de menaces ait vu la porte arrière réutilisée par différents acteurs à des fins économiques. Cette flexibilité est dangereuse : un composant conçu pour rester caché et fournir la télécommande peut être utilisé par les groupes d'espionnage et par les bandes de ransomware qui veulent maintenir un accès préalable au déploiement du chiffrement.
L'arme de cette campagne n'est pas une vulnérabilité exotique, mais l'utilisation de logiciels légitimes et signés que vous allez charger d'une manière attendue. Ce type d'abus est connu et documenté dans le cadre des techniques d'attaque: la base MITRE ATT & CK collecte et classe les variantes de charge de DLL comme des techniques qui permettent l'exécution de code par des binaires fiables; votre spécification peut être trouvée à MITRE ATT & CK - DLL Side-Loading.
Quelles leçons pratiques cet incident laisse-t-il? Premièrement, que la confiance dans la signature numérique d'un exécutable n'est pas en soi une garantie de sécurité : des signatures valides peuvent être utilisées comme cheval de Troie si le binaire charge des librairies locales manipulatrices. Deuxièmement, des campagnes efficaces combinent ingénierie sociale et techniques pour échapper à la détection, de sorte que la protection doit être à la fois technologique et humaine. Troisièmement, les défenseurs doivent prêter attention aux canaux apparemment bénins tels que le DNS et les processus qui, bien que légitimes, montrent un comportement inhabituel lors de l'exécution de composants externes.
Dans le domaine de l'exploitation, il convient de revoir les politiques d'exécution des logiciels et les itinéraires de recherche DLL sur les stations critiques et les serveurs, de renforcer la gestion des privilèges et d'appliquer des contrôles qui limitent l'installation d'outils à distance sans autorisation. Il est également important d'avoir la détection d'anomalies du trafic DNS et de la télémétrie et des processus de mémoire, ainsi qu'un plan d'intervention qui comprend l'identification et le confinement des portes arrière agissant en mémoire.
Pour les organisations à la recherche de références et de cadres d'action, les guides collectifs sur les ransomwares et la réponse aux incidents gouvernementaux et aux agences de cybersécurité offrent des lignes directrices utiles, par exemple, l'initiative américaine visant à arrêter les ransomwares recueille des recommandations et des cas d'utilisation dans CISA - Stop Ransomware. Et pour ceux qui veulent approfondir le rapport technique sur PDFSider, la note de sécurité contient une analyse technique détaillée qui mérite d'être revue : Rapport de sécurité sur PDFSider.
Bref, PDFSider rappelle que les agresseurs combinent ingénierie sociale, abus de confiance et bonnes pratiques techniques pour créer des menaces difficiles à détecter. La protection de soi exige une stratégie globale qui non seulement déploie des outils de sécurité, mais aussi éduque les gens, contrôle la surface d'exécution du logiciel et surveille les canaux de communication qui sont traditionnellement considérés comme inoffensifs.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...