I ricercatori di Resecurity hanno identificato una nuova backdoor, denominata PDFSider, che viene distribuita attraverso un attacco di spear phishing contro aziende del settore finanziario. Lo scopo dei cybercriminali è accedere alla rete interna e rubare informazioni riservate, mantenendo la persistenza e aggirando le protezioni di sicurezza.
Descrizione dell’attacco con PDFSider
L’attacco inizia con l’invio di email a specifici target (spear phishing) che contiene un archivio ZIP in allegato. Al suo interno ci sono l’eseguibile legittimo del tool PDF24 Creator di Miron Geek Software e varie DLL. Una di esse è cryptbase.dll (PDFSider). Quando l’utente avvia l’eseguibile vengono caricate in memoria tutte le DLL. Si tratta della nota tecnica DLL sideloading.
PDFSider non lascia tracce su disco e opera in background. Si collega al server C2 (command and control) nascondendo il traffico e cifrando i dati con crittografia AES-256-GCM. Il malware non viene eseguito quando sono utilizzate sandbox, macchine virtuali o tool di analisi per evitare la rilevazione.
Gli esperti di Resecurity hanno verificato che, in alcuni casi, i cybercriminali sfruttano falsi documenti PDF di autorità note per ingannare le vittime. PDFSider permette di accedere ai computer della rete aziendale e mantenere la persistenza a lungo termine. Consente quindi di raccogliere informazioni sui sistemi, eseguire comandi da remoto e rubare dati sensibili.
Il malware è quindi sfruttato per attacchi di spionaggio contro determinati bersagli. Resecurity ha trovato PDFSider sui computer di un’azienda inclusa nella classifica Fortune 100. Gli esperti di sicurezza erano stati contattati in seguito ad un’intrusione effettuata dai cybercriminali dopo aver convinto un dipendente ad installare il tool Quick Assist (Assistenza rapida) di Microsoft.
Ti potrebbe interessare
22 gen 2026