Nas últimas semanas, os investigadores de segurança deram uma campanha que combina técnicas clássicas de engenharia social com um código cada vez mais sofisticado: um novo backdoor batizado como PDFSider É usado para abrir portas silenciosas em ambientes Windows e facilitar a implantação de ransomware contra empresas de alto perfil, incluindo pelo menos um objetivo dentro da lista Fortune 100 do setor financeiro.
O ponto de entrada não é um exploit zero-day estrafalário, mas uma mistura calculada de cogumelos e abuso de confiança. Os atacantes enviam e-mails dirigidos (spearphishing) que contêm um arquivo ZIP. Dentro desse ZIP chega uma cópia legítima e assinada digitalmente do instalador de PDF24 Creator, uma aplicação conhecida cuja web oficial é pdf24.org. Junto a esse executável legítimo colocam uma livraria DLL manipulada chamada cryptbase.dll; quando o .EXE carrega o DLL maliciosa, o código do atacante é executado dentro do processo legítimo. Esta técnica, conhecida como DLL side‐loading, aproveita a confiança que o sistema e as soluções de segurança concedem a binários assinados.
Os detalhes técnicos do malware foram publicados pela assinatura que o descobriu durante uma resposta a incidente. Resecurity descreve PDFSider como um backdoor projetado para permanecer escondido e manter acesso persistente, com características que lembram mais a ciberespionagem dirigida que o malware puramente orientado para obter um resgate rápido.
Além do señuelo do instalador, em algumas variantes os e-mails levam documentos señuelo que parecem feitos à medida da vítima: PDFs com autores falsos que fingiam pertencer a entidades governamentais para dar verossimilhança e aumentar a probabilidade de o destinatário executar o anexo. Em outras operações, os atacantes recorreram a engenharia social por chamada, fazendo-se passar por pessoal de suporte técnico e tentando convencer funcionários a instalarem ferramentas remotas como a utilidade de assistência da Microsoft — uma manobra que facilita a tomada de controle interativo de sistemas com o consentimento direto da vítima.
Quando o DLL maliciosa é carregado, herda as permissões do executável legítimo que a chamou, o que pode permitir aos atacantes saltarem controles e avivar movimentos laterais na rede interna. PDFSider também evita deixar rastros em disco ao carregar boa parte de seu código diretamente em memória e emprega tubos anônimos para executar comandos por CMD, técnicas que dificultam a detecção por EDR e outros mecanismos baseados em análise de arquivos.
A comunicação com a infraestrutura de comando e controle também está pensada para camuflarse: os equipamentos infectados recebem um identificador único, coletam informações do sistema e transmitem ao servidor do atacante usando pedidos DNS pelo porto 53, um canal que muitas vezes passa despercebido em muitas redes. Para proteger a confidencialidade e integridade dessas sessões, o PDFSider usa a biblioteca criptográfica Botan em sua versão 3.0.0 e criptografia AEAD com AES-256‐GCM, decifrando os dados em memória para minimizar artefatos persistentes no host. A documentação geral do Botan pode ser consultada em botan.randombit.net.
O uso de AES-GCM e de uma livraria madura como Botan é significativo: não se trata da improvisação de um script kiddie, mas de uma implementação orientada para manter comunicações seguras e resistentes à análise. Além disso, o malware incorpora medidas de anti-análise como verificações do tamanho da RAM e detecção de depuradores para abortar sua execução se parece estar correndo dentro de um sandbox ou em um ambiente de pesquisa.
Resecurity assinala que o PDFSider foi observado em ataques ligados ao ransomware Qilin, embora sua equipe de busca de ameaças tenha visto o backdoor sendo reutilizado por diferentes atores com motivos econômicos. Essa flexibilidade é perigosa: um componente projetado para permanecer escondido e oferecer controle remoto pode ser aproveitado tanto por grupos para fins de espionagem como por bandas de ransomware que queiram manter um acesso prévio ao implantação de criptografia.
A arma nesta campanha não é uma vulnerabilidade exótica, mas o aproveitamento de software legítimo e assinado que carrega livrarias de forma esperada. Essa classe de abuso é conhecida e documentada dentro do marco de técnicas de atacante: a base MITRE ATT&CK recolhe e classifica variantes de carga de DLL como técnicas que permitem execução de código por binários confiáveis; sua ficha técnica pode ser consultada em MITRE ATT&CK — DLL Side‐Loading.
Que lições práticas deixa este incidente? Primeiro, que a confiança na assinatura digital de um executável não é por si só garantia de segurança: assinaturas válidas podem ser usadas como cavalo de Troia se o binário carga livreria local manipulável. Segundo, as campanhas eficazes combinam engenharia social com técnicas técnicas para evitar detecção, pelo que a protecção deve ser tanto tecnológica como humana. Terceiro, que os defensores devem prestar atenção a canais aparentemente benignos como DNS e a processos que, embora legítimos, mostram comportamentos incomuns ao executar componentes externos.
No terreno operacional, convém rever as políticas de execução de software e as rotas de busca do DLL em estações e servidores críticos, endurecer a gestão de privilégios e aplicar controles que restrinjam a instalação de ferramentas remotas sem autorização. Também é importante contar com detecção de anomalias em tráfego DNS e telemetria de memória e processos, bem como um plano de resposta que contemple a identificação e contenção de portas traseiras que atuem em memória.
Para organizações que buscam referências e marcos de atuação, as diretrizes coletivas sobre ransomware e resposta a incidentes do governo e agências de cibersegurança oferecem diretrizes úteis; por exemplo, a iniciativa americana para conter o ransomware coleta recomendações e casos de uso em CISA — Stop Ransomware. E para quem quiser aprofundar o relatório técnico sobre PDFSider, a nota de Resecurity contém uma análise técnica detalhada que vale a pena rever: Relatório de Resecurity sobre PDFSider.
Em suma, o PDFSider é um lembrete de que os atacantes combinam engenharia social, abuso de confiança e boas práticas técnicas para criar ameaças difíceis de detectar. Proteger exige uma estratégia abrangente que não só implementa ferramentas de segurança, mas também eduque as pessoas, controle a superfície de execução do software e monitorize canais de comunicação tradicionalmente considerados inofensivos.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...