PDF24 Creator wird zur Malware-Schleuder

PDFSIDER-Kampagne nutzt beliebte PDF-Software als Trojaner für Spionage und Ransomware-Angriffe – auch ein Fortune-100-Konzern betroffen.

Ein raffinierter Malware-Angriff verwandelt die populäre PDF-Bearbeitungssoftware PDF24 Creator in eine Hintertür für Cyberkriminelle. Sicherheitsforscher entdeckten die als PDFSIDER bezeichnete Schadsoftware, die getarnt als legitimes Programm Systeme infiltriert und Fernzugriff für Angreifer schafft. Die Kampagne zielt gezielt auf Unternehmen und zeigt Merkmale staatlich unterstützter Cyber-Spionage.

Getarnt als deutsche Standardsoftware

Der Angriff nutzt keine Sicherheitslücke im originalen PDF24 Creator des deutschen Herstellers Geek Software GmbH. Stattdessen setzen die Täter auf Social Engineering: Sie verpacken die manipulierte Software in ZIP-Archiven, die per Spear-Phishing-E-Mails verbreitet werden. Ahnungslose Nutzer laden so die schädliche Version von unseriösen Quellen herunter.

Das Besondere: Die Malware nutzt die digital signierte Original-Exe-Datei als Deckmantel. Über eine als DLL Side-Loading bekannte Technik wird eine schädliche ‘cryptbase.dll’ geladen, sobald der Nutzer das Programm startet. Für Sicherheitssysteme sieht alles nach einer vertrauenswürdigen Anwendung aus – tatsächlich erhält die Malware jedoch volle Ausführungsrechte.

Spear‑Phishing‑E‑Mails mit manipulierten ZIP‑Anhängen sind eines der effektivsten Einfallstore für komplexe Malware‑Kampagnen wie PDFSIDER. Das kostenlose Anti‑Phishing‑Paket zeigt in vier klaren Schritten, wie Sie gefälschte Absender erkennen, schädliche Anhänge blocken und Mitarbeiter praxisnah schulen – inklusive fertiger Vorlagen für interne Prozesse und Awareness‑Checks. Ideal für IT‑Verantwortliche und Sicherheitsbeauftragte, die Social‑Engineering‑Angriffe nachhaltig stoppen wollen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Unsichtbare Bedrohung im Arbeitsspeicher

PDFSIDER operiert fast ausschließlich im Arbeitsspeicher und hinterlässt kaum Spuren auf der Festplatte. Diese Tarnung macht die Erkennung für herkömmliche Antivirenprogramme extrem schwierig. Die Malware baut verschlüsselte Kommunikationskanäle zu Server der Angreifer auf und nutzt dabei die kryptografische Bibliothek Botan 3.0.0 mit AES-256-GCM-Verschlüsselung.

Besonders beunruhigend: PDFSIDER erkennt Analyse-Umgebungen. Führt sie Anti-Sandbox- und Anti-VM-Checks durch und deaktiviert sich in verdächtigen Umgebungen selbst. Diese Fähigkeiten sind typisch für fortgeschrittene, langlebige Bedrohungen (Advanced Persistent Threats), die auf langfristige Spionage ausgelegt sind.

Doppelte Gefahr: Spionage und Ransomware

Die Reichweite der PDFSIDER-Kampagne ist beträchtlich. Sicherheitsanalysten von Resecurity bestätigen einen erfolgreichen Angriff auf ein Fortune-100-Unternehmen, bei dem die Malware mit Social Engineering kombiniert wurde. Noch bedrohlicher: Mehrere Ransomware-Gruppen nutzen PDFSIDER bereits als Einfallstor in Unternehmensnetzwerke.

Die Malware dient als erste Infektionsstufe, die nach erfolgreicher Installation weitere Schadsoftware wie Ransomware nachladen kann. Diese Doppelnutzung macht PDFSIDER zu einem vielseitigen Werkzeug für unterschiedlichste Angreifer – von staatlichen Akteuren bis zu kriminellen Erpressergruppen.

Wie sich Unternehmen schützen können

Der Fall zeigt einen wachsenden Trend: Angreifer missbrauchen zunehmend vertrauenswürdige Software, um Sicherheitsvorkehrungen zu umgehen. Ein gültiges digitales Zertifikat garantiert längst keine Sicherheit mehr, wie diese Kampagne beweist.

Experten raten zu strikten Sicherheitspraktiken: Software ausschließlich von offiziellen Websites und verifizierten Quellen herunterladen. Besondere Vorsicht ist bei unerwarteten E-Mails mit Anhängen geboten – selbst wenn sie vermeintlich von bekannten Absendern stammen. Moderne Endpoint Protection-Lösungen mit Verhaltensanalyse können ungewöhnliche Aktivitäten wie atypisches DLL-Laden erkennen und bieten Schutz gegen solche arbeitsspeicherbasierten Bedrohungen.

Der deutsche Software-Hersteller Geek Software GmbH betont, dass keine Sicherheitslücke im originalen Produkt ausgenutzt wurde. Der Vorfall ist unabhängig von der bereits im Dezember 2023 gepatchten Schwachstelle CVE-2023-49147, die lokale Rechteausweitung ermöglichte.

PS: CEO‑Fraud und zielgerichtete Social‑Engineering‑Angriffe sind Haupttreiber für erfolgreiche APT‑Infektionen. Das Anti‑Phishing‑Paket enthält branchenbezogene Warnbeispiele, eine praktische Checkliste für E‑Mail‑Forensik und eine umsetzbare Schritt‑für‑Schritt‑Strategie zur Prävention – sofort einsetzbar in Ihrem Unternehmen, bevor Angreifer über manipulierte PDF‑Tools Fuß fassen. Jetzt Anti‑Phishing‑Paket sichern