Un malware discret au cœur d’une attaque ciblée
Des chercheurs en cybersécurité ont récemment mis au jour un nouveau malware Windows particulièrement sophistiqué, nommé PDFSider, lors de l’analyse d’une attaque visant une entreprise du Fortune 100 dans le secteur financier. L’opération ne se limitait pas à une tentative de rançongiciel classique : elle reposait sur une approche méthodique, mêlant manipulation humaine et techniques avancées d’évasion.
Les attaquants ont notamment utilisé des stratégies d’ingénierie sociale en se faisant passer pour des membres du support technique. Leur objectif était de convaincre des employés d’installer Quick Assist, l’outil d’assistance à distance de Microsoft, afin d’obtenir un accès initial aux systèmes internes.
Une backdoor pensée pour durer
Selon les chercheurs de la société Resecurity, PDFSider n’est pas un simple chargeur de malware. Il s’agit d’une porte dérobée conçue pour un accès furtif et prolongé, intégrant des méthodes que l’on associe habituellement aux groupes de menace avancés. Autrement dit, le code et le comportement de ce malware rappellent davantage des campagnes d’espionnage que des attaques opportunistes à but purement financier.
Les analystes soulignent que PDFSider a été observé dans des opérations liées au rançongiciel Qilin, mais que son usage ne se limite pas à un seul groupe. Plusieurs acteurs malveillants l’exploiteraient déjà pour préparer et lancer leurs charges utiles.
Un exécutable légitime comme cheval de Troie
L’un des aspects les plus marquants de PDFSider réside dans son mode de distribution. Le malware arrive généralement par emails de spearphishing, contenant une archive ZIP. À l’intérieur, on trouve un exécutable parfaitement légitime et signé numériquement : PDF24 Creator, un logiciel bien connu développé par Miron Geek Software GmbH.
Mais l’archive cache un second élément, beaucoup moins inoffensif : une version modifiée et malveillante d’un fichier DLL essentiel au fonctionnement du programme, nommé cryptbase.dll.
Lorsque l’utilisateur lance l’application, celle-ci charge automatiquement la DLL présente dans le même répertoire. Cette technique, appelée DLL side-loading, permet aux attaquants d’exécuter leur code sans déclencher immédiatement les mécanismes de défense. Le programme paraît authentique, mais c’est bien la bibliothèque frauduleuse qui prend le contrôle en arrière-plan.
Des leurres sur mesure pour tromper les victimes
Dans certains cas, les cybercriminels vont encore plus loin en utilisant des documents leurres conçus pour inspirer confiance. Ces fichiers semblent personnalisés en fonction de la cible et peuvent même mentionner des organismes officiels. Un exemple analysé par les chercheurs montrait un document attribué à une entité gouvernementale chinoise, renforçant ainsi la crédibilité du message.
Une fois le fichier ouvert, la DLL malveillante s’exécute avec les mêmes privilèges que l’exécutable légitime, ce qui facilite les actions ultérieures sur le système compromis.
Exploitation de failles et contournement des défenses
Bien que l’exécutable soit correctement signé, les chercheurs expliquent que certaines faiblesses du logiciel PDF24 ont été exploitées pour charger la DLL malveillante et contourner efficacement les solutions EDR et antivirus. Cette approche illustre une tendance inquiétante : les cybercriminels trouvent de plus en plus facilement des logiciels vulnérables à détourner.
Resecurity souligne que la montée en puissance des outils de développement assistés par l’IA pourrait accélérer ce phénomène, en rendant la recherche et l’exploitation de failles plus accessibles aux attaquants.
Une exécution en mémoire pour laisser peu de traces
PDFSider a été conçu pour réduire au maximum son empreinte sur le disque. Le malware s’exécute principalement en mémoire, ce qui complique son analyse a posteriori. Il utilise également des pipes anonymes pour exécuter des commandes via l’invite de commande Windows, limitant ainsi les artefacts visibles sur le système.
Chaque machine infectée reçoit un identifiant unique. Le malware collecte ensuite diverses informations sur l’environnement compromis et les transmet à un serveur contrôlé par l’attaquant.
Exfiltration et communication chiffrée
Les données volées sont exfiltrées vers un serveur VPS via le protocole DNS, en utilisant le port 53, souvent autorisé dans les environnements d’entreprise. Cette méthode permet de se fondre dans le trafic réseau légitime.
Pour protéger ses échanges avec le serveur de commande et de contrôle (C2), PDFSider s’appuie sur la bibliothèque cryptographique Botan 3.0.0 et utilise le chiffrement AES-256-GCM. Les données entrantes sont déchiffrées directement en mémoire, réduisant encore les traces exploitables par les analystes.
Le malware met également en œuvre un schéma d’Authenticated Encryption with Associated Data (AEAD), garantissant à la fois la confidentialité et l’intégrité des communications. Ce type de protection est typique des outils de contrôle à distance utilisés dans des attaques ciblées de haut niveau.
Des mécanismes anti-analyse sophistiqués
PDFSider intègre plusieurs contre-mesures anti-analyse destinées à déjouer les environnements de test et les bacs à sable. Il vérifie notamment la quantité de mémoire vive disponible et cherche des signes de débogage actif. Si des indices suggèrent qu’il est observé ou analysé, le malware peut interrompre son exécution prématurément.
Ces mécanismes compliquent la tâche des chercheurs et retardent la détection des campagnes actives.
Un outil plus proche de l’espionnage que du cybercrime classique
Au vu de l’ensemble de ses caractéristiques, Resecurity estime que PDFSider se rapproche davantage des outils utilisés pour l’espionnage numérique que des malwares conçus uniquement pour le gain financier rapide. Sa conception privilégie la discrétion, la persistance et la flexibilité, autant d’éléments essentiels pour maintenir un accès clandestin sur le long terme.
Cette découverte rappelle que certaines attaques attribuées à des groupes de rançongiciels peuvent reposer sur des outils bien plus avancés qu’il n’y paraît, brouillant la frontière entre cybercriminalité et opérations de type APT.