PDF24 Creator wird zur Einfallspforte für neue Malware-Welle

Eine neue, hochgefährliche Schadsoftware nutzt die vertrauenswürdige PDF-Software als Trojanisches Pferd und bedroht nun gezielt deutsche Unternehmen.

Ein raffiniertes Schadprogramm namens PDFSIDER infiltriert aktuell Unternehmensnetzwerke in ganz Europa. Die Malware tarnt sich in einer manipulierten Version des weit verbreiteten PDF24 Creator und umgeht so mühelos moderne Sicherheitssysteme. Seit dem 23. Januar richtet sich die Angriffswelle verstärkt gegen Organisationen in Deutschland, Frankreich und Großbritannien. Sicherheitsexperten warnen vor der hohen Tarnfähigkeit und dem Potenzial für folgenschwere Datenraubzüge oder Erpressungsangriffe.

So trickst PDFSIDER die Sicherheitssoftware aus

Der Angriff basiert auf einer als DLL Side-Loading bekannten Taktik. Opfer erhalten präparierte E-Mails, die zum Download eines angeblichen PDF24-Updates auffordern. Im Archiv liegen eine echte, digital signierte Programmdatei (pdf24.exe) und eine bösartige DLL-Datei (cryptbase.dll) nebeneinander.

Viele Unternehmen unterschätzen, wie gefährlich manipulierte Updates sein können. PDFSIDER nutzt DLL-Side‑Loading und “fileless”-Techniken, um EDR-Systeme zu umgehen — ein Trend, vor dem 73% deutscher Firmen laut aktuellen Sicherheitsexperten kaum gewappnet sind. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt die neuesten Angriffsvektoren, praktische Sofortmaßnahmen und wie Sie die Software‑Lieferkette besser absichern. Jetzt kostenlosen Cyber‑Security‑Report sichern

Startet der Nutzer die vertrauenswürdige PDF-Software, lädt Windows automatisch die schädliche DLL aus dem lokalen Ordner – und nicht die legitime Systemversion. Der Schadcode wird so mit den gleichen Rechten wie die vertrauenswürdige Anwendung ausgeführt. Da der übergeordnete Prozess von der deutschen Miron Geek Software GmbH stammt, schlagen viele Sicherheitsprotokolle zunächst nicht an.

Unsichtbar im Speicher: Die Tarnkappen-Funktionen

PDFSIDER ist speziell darauf ausgelegt, Endpoint Detection and Response (EDR)-Systeme zu umgehen. Nach dem Start arbeitet die Malware hauptsächlich im Arbeitsspeicher – eine „fileless“-Technik, die kaum Spuren auf der Festplatte hinterlässt. Das erschwert die forensische Analyse nach einem Angriff erheblich.

Laut Analysen nutzt der Schädling die Botan-Kryptografie-Bibliothek, um eine verschlüsselte Kommunikationsleitung (C2-Kanal) mit AES-256-GCM-Verschlüsselung aufzubauen. Über diesen versteckten Kanal können Daten abfließen und Fernbefehle empfangen werden. Zudem prüft die Malware, ob sie in einer virtuellen Maschine oder einer Sicherheits-Sandbox läuft. Wird eine solche Testumgebung erkannt, deaktiviert sie sich selbst, um eine Enttarnung zu verhindern.

Deutsche Firmen im Fokus der Angreifer

Während die Kampagne Mitte Januar noch auf einzelne Großkonzerne – darunter ein Fortune-100-Finanzunternehmen – abzielte, hat sie sich deutlich ausgeweitet. Die Bedrohung für den deutschen Mittelstand und große DAX-Konzerne ist real. Die Angreifer nutzen den Zugang offenbar nicht nur für kurzfristigen Datendiebstahl, sondern um dauerhaft im Netzwerk zu verbleiben.

In der Vergangenheit dienten solche Hintertüren oft als Vorstufe für Ransomware-Angriffe. Da PDFSIDER beliebige Befehle ausführen kann, könnten die Täter nach der ersten Infektion im Netzwerk umherwandern, Berechtigungen eskalieren und letztlich Erpressungssoftware wie Qilin Ransomware einschleusen. Ein Zusammenhang zu dieser Ransomware-Gruppe wurde in früheren Berichten bereits vermutet.

„Living off the Land“: Der Trend zur Tarnung in legitimer Software

Der Missbrauch vertrauenswürdiger Software – sogenannte „Living off the Land“ (LotL)-Angriffe – ist ein wachsendes Problem. Angreifer nutzen aus, dass Betriebssysteme digital signierten Anwendungen grundsätzlich vertrauen. Der Fall PDF24 Creator zeigt: Selbst seriöse Software kann zur Waffe werden, wenn das Datei-Umfeld manipuliert wird.

Als Gegenmaßnahmen empfehlen Cybersicherheitsexperten:
* Strikte Application-Whitelisting-Richtlinien durchzusetzen.
* Sicherheitssysteme so zu konfigurieren, dass sie das Laden von DLLs aus beschreibbaren Benutzerverzeichnissen überwachen.
* Spezifische Indikatoren für Kompromittierung (IoCs) der PDFSIDER-Kampagne zu blockieren.
* Mitarbeiter konsequent zu schulen, Software-Updates niemals über E-Mail-Links, sondern nur von den offiziellen Hersteller-Websites herunterzuladen.

Agressive Angreifer: Was als Nächstes drohen könnte

Die schnelle Entwicklung von PDFSIDER von einem gezielten Spionagetool zu einer breiten Bedrohung deutet auf gut ausgestattete und agile Täter hin. Sicherheitsanbieter rechnen damit, dass die nächste Angriffswelle noch komplexere Verschleierungstechniken nutzen oder andere Legitimations-Anwendungen als Köder missbrauchen wird.

Unternehmen sollten in den kommenden Wochen besonders wachsam sein – vor allem bei der Sicherheit der Software-Lieferkette und bei der Behandlung von E-Mail-Anhängen. Die Ausnutzung eines Tools wie PDF24 Creator ist eine deutliche Warnung: Im digitalen Ökosystem muss Vertrauen fortlaufend überprüft werden.

PS: Angriffe, die über legitime Tools wie PDF‑Viewer kommen, brauchen schnelle betriebliche Antworten. Holen Sie sich den kostenlosen Cyber‑Security‑Report mit konkreten Checklisten für Incident Response, Lieferketten‑Härtung und Mitarbeiter‑Sensibilisierung — ideal für IT‑Leiter und Sicherheitsverantwortliche, die sofort handeln wollen. Gratis Cyber‑Security‑Report für Unternehmen herunterladen