PDFSIDER-Malware nutzt beliebte PDF-Software aus, um Windows-Systeme zu infiltrieren und bleibt dabei fast unsichtbar. Cybersicherheitsexperten warnen vor einer neuen, hochgefährlichen Bedrohung: Ransomware-Gruppen schleusen über die vertrauenswürdige Anwendung PDF24 Creator eine ausgeklügelte Schadsoftware ein. Diese hat bereits ein Fortune-100-Finanzunternehmen getroffen.
Angriff über täuschend echte E-Mails
Der Infektionsweg beginnt mit gezielten Spear-Phishing-E-Mails. Der Anhang enthält ein ZIP-Archiv mit einem angeblichen Installer für den PDF24 Creator – eine legitime Software der deutschen Geek Software GmbH. Im Paket versteckt sich neben der signierten Original-EXE-Datei jedoch eine bösartige DLL-Datei namens cryptbase.dll.
Startet der Nutzer das PDF24-Programm, wird es durch eine Schwachstelle manipuliert, die schädliche DLL aus dem eigenen Ordner zu laden, statt der echten Systemdatei. Diese DLL-Side-Loading-Technik verleiht der Malware die Berechtigungen der vertrauenswürdigen Anwendung und umgeht so viele Sicherheitsvorkehrungen. Der Schadcode operiert vorwiegend im Arbeitsspeicher, um Spuren auf der Festplatte zu minimieren.
Spear‑Phishing, manipulierte Installer und DLL‑Side‑Loading sind derzeit die häufigsten Einfallstore für komplexe Angriffe. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie CEO‑Fraud, manipulierte Anhänge und Social‑Engineering erkennen und effektiv abwehren. Der Leitfaden enthält Checklisten für E‑Mail‑Filter, konkrete Schulungsbausteine für Mitarbeiter und praktische Maßnahmen zur sofortigen Umsetzung. Jetzt Anti‑Phishing‑Paket herunterladen
Vollwertige Hintertür für Spionage und Erpressung
PDFSIDER ist kein einfacher Schädling, sondern eine vollausgestattete Backdoor für langfristigen Zugriff. Die von Resecurity analysierte Malware zeigt Merkmale fortgeschrittener Angreifer (APT), darunter ausgefeilte Anti-Analyse-Checks, die Sandbox-Umgebungen von Forschern erkennen sollen.
Über einen verschlüsselten Command-and-Control-Kanal (C2) kommuniziert sie mit Servern der Angreifer. Die Kommunikation wird mit AES-256-GCM verschlüsselt. So können Daten ausgespäht, Fernbefehle ausgeführt und weitere Schadpayloads wie Ransomware nachgeladen werden. Beim Angriff auf das Finanzunternehmen sollen sich die Täter zuvor als IT-Support ausgegeben haben, um Mitarbeiter zur Installation von Fernwartungstools zu bewegen – ein mehrstufiger Angriffsplan.
Alarmierender Trend: Missbrauch legitimer Software
Der Fall PDFSIDER unterstreicht einen besorgniserregenden Trend: Cyberkriminelle missbrauchen zunehmend signierte, vertrauenswürdige Software, um Sicherheitsbarrieren zu umgehen. Die Malware profitiert von der Reputation der Anwendung und entgeht signaturbasierten Scannern. Besonders gefährlich ist dies für Unternehmen, die bekannte Anwendungen auf Whitelists setzen. Dass Ransomware-Gruppen wie Qilin das Tool bereits nutzen, spricht für seine Wirksamkeit.
Experten raten zu einer mehrschichtigen Abwehr:
* E-Mail-Sicherheit: Filter müssen auch in ZIP-Archiven versteckte Bedrohungen erkennen.
* Nutzeraufklärung: Mitarbeiter müssen für Phishing und Social Engineering sensibilisiert werden.
* Verhaltensanalyse: Endpoint-Lösungen sollten verdächtige Prozesse wie das Laden ungewöhnlicher DLLs erkennen.
* Anwendungskontrolle: Unautorisierte Ausführungen in sensiblen Verzeichnissen sollten blockiert werden.
Keine Software ist mehr sicher
Die Kampagne zeigt deutlich: Keine Anwendung ist vor Missbrauch gefeit. Angreifer suchen ständig nach verwertbaren Schwachstellen in populärer Software, die sie als Trojaner nutzen können. KI-gestützte Programmiertools könnten diese Suche sogar beschleunigen.
Für Unternehmen und Nutzer bedeutet dies erhöhte Wachsamkeit. Software sollte nur aus offiziellen Quellen stammen und stets aktuell sein. Die digitale Signatur allein ist kein Sicherheitsgarant mehr. Der Fokus der Verteidigung muss auf der Erkennung anomalen Verhaltens liegen – in der Annahme, dass jede Anwendung potenziell kompromittiert sein könnte. Die Reaktion der PDF24-Entwickler auf die ausgenutzten Schwachstellen wird ein entscheidender nächster Schritt sein.
PS: Bleiben Sie nicht die nächste Statistik. In nur vier Schritten können Sie die meisten Phishing‑Angriffe abwehren – von der Erkennung verdächtiger ZIP‑Anhänge bis zur Schulung von Helpdesk‑Routinen. Der Gratis‑Guide richtet sich an IT‑Verantwortliche und Entscheider und liefert sofort umsetzbare Vorlagen für Filterregeln, Mitarbeiterbriefings und Incident‑Response. Anti‑Phishing‑Guide jetzt sichern
