Mitjançant un fitxer aparentment inofensiu, els atacants aconsegueixen prendre el control dels equips sense que es percebi. És tan sofisticat que el comparen amb les eines que es fan servir a les campanyes d’espionatge.

Aquest programari maliciós pot infiltrar-se en sistemes Windows fent servir fitxers que semblen legítims i operar sense ser detectat per les eines tradicionals.

En el món de la ciberseguretat, cada cert temps sorgeixen amenaces que demostren com s’han tornat de sofisticats els atacs digitals. Una de les més recents PDFSIDER, un programari maliciós que està preocupant empreses i professionals de TI per la seva capacitat d’eludir fins i tot les eines de seguretat més avançades.

Es tracta d’un programa dissenyat per instal·lar una porta del darrere als equips amb Windows, cosa que permet que els ciberdelinqüents prenguin control remot del sistema sense que l’usuari se n’adoni. 

A diferència dels virus tradicionals, aquest codi maliciós s’executa de manera silenciosa, sense mostrar alertes ni finestres sospitoses, cosa que en dificulta enormement la detecció.

La infecció sol començar amb un correu electrònic dirigit acuradament a la víctima, que inclou un arxiu comprimit aparentment innocu. A dins, hi ha un programa que imita una aplicació legítima per treballar amb documents PDF, però que ha estat modificat per permetre l’accés no autoritzat. 

En executar aquesta app l’usuari activa sense saber-ho el codi maliciós (malware), i posa en risc la seva informació i la seguretat de la xarxa a la qual està connectat.

El mètode que fa tan difícil la seva detecció s’anomena DLL Side-Loading. Els programes de Windows depenen de petits fitxers de programari anomenats DLL. PDFSIDER reemplaça una d’aquestes DLL legítimes per una versió manipulada. Quan el programa s’inicia, carrega el fitxer maliciós en lloc de l’original, i li atorga a l’atacant l’accés complet al sistema. 

A més, l’eina maliciosa s’executa a la memòria de l’equip i xifra la seva comunicació amb els servidors de control, cosa que complica encara més la seva anàlisi.

Per què és tan perillós

Un cop instal·lat, PDFSIDER pot recopilar informació de l’equip, executar ordres remotes i enviar els resultats als atacants sense aixecar sospites. 

El seu nivell de sofisticació fa que molts experts ho considerin similar a les eines que es fan servir a les campanyes d’espionatge digital molt organitzades i fins i tot amb el suport de grups amb força recursos.

El motiu pel qual els antivirus i els sistemes EDR solen fallar és que aquests es basen en firmes conegudes o patrons de comportament evidents. PDFSIDER evita les dues defenses: l’aplicació principal sembla autèntica, el codi maliciós es mou a la memòria i el trànsit xifrat es confon amb les comunicacions normals. 

A més, aquesta amenaça inclou mecanismes per no executar-se en entorns d’anàlisi o laboratoris de seguretat, cosa que en dificulta l’estudi i l’eliminació.

Afortunadament, hi ha mesures que redueixen el risc d’infecció. Entre elles els experts destaquen no obrir fitxers adjunts de remitents desconeguts, mantenir el sistema operatiu i el programari actualitzats i vigilar qualsevol activitat inusual a la xarxa, especialment connexions xifrades en ports poc habituals. També és recomanable configurar solucions de seguretat que detectin comportaments atípics, com ara la càrrega de DLL no estàndard.