Imagine abrir um simples editor de PDF — assinado digitalmente, aparentemente confiável — e, sem perceber, entregar as chaves do seu PC a um invasor. Foi exatamente isso que a equipe da Resecurity encontrou ao analisar o PDFSIDER, um malware recém-descoberto que se disfarça de aplicativo legítimo para operar espionagem de alto nível em máquinas Windows.
Como começa o ataque
O ponto de partida é um e-mail de spear-phishing cuidadosamente elaborado. Dentro dele, um arquivo ZIP traz o executável “PDF24 App” — um nome conhecido entre usuários que editam ou convertem documentos. Ao executar o programa, nenhuma janela se abre; porém, em segundo plano, o PDFSIDER já estabelece seu QG dentro do seu sistema.
O truque por trás da cortina: DLL sideloading
Para burlar antivírus tradicionais e soluções EDR, o malware explora a técnica de DLL sideloading. Ao lado do executável legítimo, os atacantes ocultam um arquivo cryptbase.dll adulterado. O Windows, priorizando arquivos no mesmo diretório do aplicativo, carrega essa biblioteca maliciosa em vez da original, dando controle total ao invasor — sem levantar alertas.
Comando, controle e muito sigilo
Após o “logon” silencioso, o PDFSIDER inicia comunicação criptografada com um servidor de comando e controle (C2). Ele utiliza a biblioteca Botan com cifragem AES-256-GCM, o mesmo nível de criptografia empregado em serviços bancários. Essa camada impede que ferramentas de inspeção de tráfego vejam o que acontece nos bastidores.
Os comandos são executados via cmd.exe sem janelas visíveis, e toda a carga maliciosa vive na memória RAM. Resultado: menos rastros em disco e mais dificuldade para perícia forense.
Evasão digna de filme de espionagem
- Detecção de sandbox: o malware monitora reservatório de RAM e processadores virtuais; se suspeitar de ambiente de análise, encerra a execução.
- Caça a depuradores: processos de debugging fazem o PDFSIDER abortar imediatamente.
- Exfiltração via DNS (porta 53): em vez de HTTP/S padrão, os dados são enviados como “consultas” DNS, passando sob o radar de firewalls mal configurados.
Alvo bem definido, impacto global
Diferentemente de campanhas de spam em massa, os operadores do PDFSIDER miram alvos estratégicos. Os arquivos-isca trazem supostos documentos de agências de inteligência chinesas — indício forte de espionagem estatal ou corporativa.
Imagem: William R
Por que você deveria se importar (mesmo sendo gamer ou criador de conteúdo)
Além de risco direto a dados pessoais e bancários, o PDFSIDER pode:
- Instalar keyloggers e roubar credenciais de serviços de streaming, jogos e nuvem;
- Desviar carteiras de criptomoedas armazenadas em extensões de navegador;
- Redirecionar poder de GPU/CPU para mineração ilícita, provocando quedas de FPS e aquecimento excessivo — péssima notícia para quem investiu caro em uma RTX 40 ou em um Ryzen 7000.
Dicas rápidas para blindar seu setup
Não existe bala de prata, mas seguir boas práticas reduz (muito) as chances de ser a próxima vítima:
- Verifique assinaturas digitais — clique com o botão direito no EXE > Propriedades > Assinaturas Digitais. Falta de certificação ou certificado recém-criado acende alerta.
- Mantenha o Windows e drivers atualizados. Correções de DLL sideloading e outras falhas são liberadas com frequência.
- Antivírus + EDR de confiança — optar por versões pagas conhecidas aumenta a base de inteligência contra ameaças novas.
- Faça backup em SSD ou NAS externo, desconectado fisicamente após a cópia. Se algo der errado, seus arquivos permanecem intactos.
- Desconfie de anexos ZIP, mesmo quando o remetente parece “gente de dentro”. Confirme por outro canal antes de abrir.
O que esperar daqui para frente
O caso PDFSIDER é mais um lembrete de que cibercriminosos estão refinando métodos para escapar de defesas convencionais. Para quem monta PCs potentes, investe em placas de vídeo topo de linha ou trabalha com dados sensíveis, a lição é clara: tão importante quanto hardware de ponta é manter a segurança em nível profissional.
Com informações de Hardware.com.br
