Nieuwe Windows-backdoor duikt op bij ransomware-aanval

dinsdag, 20 januari 2026 (10:09) - Techzine

In dit artikel:

Bij een recente aanval op een Fortune 100-bedrijf in de financiële sector ontdekten onderzoekers een nieuw Windows-malwarepakket dat zij PDFSider noemen. De malware fungeert als een stille backdoor om langdurige toegang tot netwerken te behouden; de vondst maakte deel uit van het forensisch onderzoek naar het incident en werd gemeld door BleepingComputer.

De aanval begon met klassieke social engineering: medewerkers kregen telefoontjes van aanvallers die zich voordeden als IT-ondersteuning en hen lieten Microsoft Quick Assist installeren, zodat de aanvallers op afstand konden meekijken en handelen. Voor organisaties is dit effectief omdat Quick Assist een legitieme, vaak toegestane tool is en daardoor weinig argwaan wekt.

Verspreiding van PDFSider gebeurde via gerichte phishingmails met een ZIP-bijlage. Het archief bevatte een digitaal ondertekend, legitiem uitvoerbaar bestand van PDF24 Creator plus een kwaadaardige DLL die door het programma werd ingeladen — een techniek die bekendstaat als DLL side-loading. Dat maakt directe detectie door securitysoftware lastiger, omdat een vertrouwd proces de kwaadcode uitvoert.

Eenmaal geladen leeft PDFSider vooral in het geheugen: het laat weinig sporen op de harde schijf achter, kent iedere geïnfecteerde machine een uniek ID toe en stuurt verzamelde systeeminformatie via versleuteld DNS-verkeer naar door de aanvallers beheerde infrastructuur. De malware bevat ook anti-analyselogica en stopt zichzelf wanneer hij in een sandbox of gecontroleerde omgeving draait, wat wijst op ontwerp voor stille, langdurige aanwezigheid in plaats van snelle winsten.

Onderzoekers koppelen PDFSider wel aan incidents waar Qilin-ransomware bij betrokken was, maar stellen dat meerdere criminele groepen het middel inmiddels gebruiken. De combinatie van legitieme tools, digitaal ondertekende componenten, in-memory uitvoering en versleutelde communicatie maakt PDFSider een serieus risico voor organisaties die vertrouwen op traditionele detectiemethoden; extra nadruk op gebruikersbewustzijn, striktere remote-supportprocedures en gedragsgebaseerde detectie wordt aangeraden.