Путь PDFSider к данным корпораций оказался на удивление простым.
В одной из сетей компании из списка Fortune 100, работающей в финансовом секторе, было обнаружено новое вредоносное ПО под названием PDFSider. Обнаружение произошло в ходе реагирования на инцидент, который связывается с атакой с применением программ-вымогателей. Как выяснила команда Resecurity, вредоносный инструмент предназначен для установки устойчивого доступа к заражённым системам и демонстрирует признаки, характерные для методов целевых атак.
Атакующие действовали через социальную инженерию, выдавая себя за сотрудников технической поддержки. Сотрудников компании убеждали установить утилиту Microsoft Quick Assist, что позволяло злоумышленникам получить удалённый доступ к устройствам.
PDFSider распространяется через фишинговые письма, содержащие ZIP-архив с легитимным исполняемым файлом PDF24 Creator от немецкой компании Miron Geek Software GmbH. Вместе с этим файлом в архив добавлялся вредоносный модуль — изменённая библиотека cryptbase.dll. После запуска основного файла, система загружала DLL злоумышленников — метод известен как DLL Sideloading. Это позволяло незаметно запускать вредоносный код под видом доверенного процесса.
Хотя основной исполняемый файл имеет цифровую подпись, программное обеспечение PDF24 содержит уязвимости, которые позволили обойти защиту на уровне обнаружения угроз. По данным специалистов, такие уязвимые приложения злоумышленникам становится проще находить благодаря использованию инструментов на базе искусственного интеллекта.
Загрузка PDFSider происходит напрямую в оперативную память, что минимизирует следы на диске. Вредоносная программа использует анонимные каналы для выполнения команд через CMD и присваивает каждому заражённому устройству уникальный идентификатор. Системные данные передаются на удалённый сервер через DNS по порту 53.
Для защиты канала управления PDFSider применяет криптобиблиотеку Botan 3.0.0 и шифрование AES-256-GCM. Данные расшифровываются прямо в памяти, а для проверки подлинности сообщений используется алгоритм AEAD в режиме GCM. Такие методы чаще встречаются в шпионских программах с возможностями удалённого управления, где критично сохранить конфиденциальность связи.
Кроме этого, PDFSider включает механизмы защиты от анализа: проверку объёма оперативной памяти и наличие отладчиков. При выявлении признаков запуска в изолированной среде выполнение вредоносного кода прерывается.
Специалисты считают, что функциональность PDFSider больше соответствует инструментам цифровой разведки, чем типичному вредоносному ПО, ориентированному на вымогательство. Вирус обеспечивает скрытую и устойчивую работу, позволяя удалённо управлять системой и передавать зашифрованные данные, оставаясь при этом вне поля зрения защитных решений.