Un nuevo malware llamado PDFSider ha encendido las alarmas entre los expertos en ciberseguridad. Este nuevo código malicioso apunta al sistema operativo Windows con un objetivo claro: lograr acceso persistente y discreto a los equipos de las grandes empresas.
Durante las últimas semanas, investigadores de Resecurity han identificado ataques dirigidos a organizaciones del sector financiero, incluyendo varias compañías de Fortune 100. Los atacantes buscan la manera de infiltrarse de forma silenciosa, mantener presencia prolongada y utilizar este acceso para desplegar ransomware u otros programas maliciosos más peligrosos.
Cómo actúa el malware PDFSider en sistemas Windows
Según los investigadores, los responsables del malware PDFSider combinan técnicas avanzadas con tácticas clásicas de ingeniería social. En las fases iniciales, los atacantes se hacen pasar por personal de soporte técnico para convencer a los empleados para instalar la herramienta Quick Assist de Microsoft, logrando así el acceso remoto a los sistemas internos.
PDFSider es una amenaza persistente avanzada diseñada para el espionaje corporativo a largo plazo, explicó un portavoz de Resecurity.
La distribución principal del malware se realiza mediante correos electrónicos de phishing cuidadosamente elaborados. Estos mensajes incluyen archivos ZIP con una versión aparentemente legítima de PDF24 Creator, software que ha sido desarrollado por Geek Software GmbH, pero manipulada para incluir una DLL maliciosa.
Ataques dirigidos y documentos falsos
Para aumentar su credibilidad, los atacantes utilizan documentos de señuelos con apariencia oficial. En uno de los casos analizados, el archivo simulaba provenir de una agencia gubernamental china. Al abrirlo, el sistema ejecutaba PDFSider con privilegios del programa legítimo, lo que le daba vía libre para operar sin alerta de antivirus.
Resecurity señala que los cibercriminales aprovecharon vulnerabilidades conocidas en PDF24 Creator, lo que facilitó la evasión de los sistemas de defensa corporativos y la ejecución de comandos remotos.
Un malware diseñado para no dejar huellas
Sin embargo, una de las características más peligrosas de PDFSider es su capacidad de operar completamente en memoria, sin escribir archivos en el disco duro. Esto complica la detección por parte de las herramientas de seguridad tradicionales.
La comunicación con los servidores de los atacantes se realiza mediante canales DNS cifrados con AES-256-GCM, garantizando el anonimato y la integridad de los datos transmitidos. Además, el malware puede autodestruirse si detecta entornos de análisis o máquinas virtuales.
Los analistas de Resecurity comparan la sofisticación de PDFSider con la de herramientas de espionaje estatales, y advierten que varios grupos de ransomware ya lo están utilizando activamente en sus operaciones.