תוכנה זדונית של PDFSIDER
PDFSIDER היא דלת אחורית זדונית שנועדה לחדור למערכות ממוקדות ולהעניק לתוקפים גישה מרחוק מתמשכת. לאחר פעילותה, היא עוקפת בקרות אבטחה על ידי התחזות לקובץ לגיטימי וניצול טכניקה המכונה טעינת צד של DLL. לאחר פריצה מוצלחת, התוכנה הזדונית אוספת מיד מודיעין מערכתי ומאפשרת ביצוע פקודה מרחוק. כל זיהוי מאושר דורש הסרה דחופה בשל רמת השליטה שהיא מספקת לגורמי האיום.
תוכן העניינים
התגנבות באמצעות ביצוע בזיכרון בלבד
מאפיין בולט של PDFSIDER הוא יכולתו לפעול בעיקר בזיכרון המערכת, מה שמפחית משמעותית את הנראות שלו לכלי אבטחה מסורתיים. לאחר ההפעלה, הוא יוצר בשקט ערוצי תקשורת נסתרים ומבצע פקודות דרך cmd.exe מבלי להציג חלונות פקודות. גישה זו מאפשרת שליטה מרחוק מלאה תוך מזעור עקבות פורנזיות בדיסק.
לאחר ביצוע הפקודה, הנוזקה אוספת מידע מפורט על המערכת, מייצרת מזהה ייחודי עבור המכשיר הנגוע, ומעבירה את הנתונים שנאספו ואת פלט הפקודה בחזרה לתוקפים.
תקשורת מוצפנת וטכניקות אנטי-אנליזה
PDFSIDER מסתמך על הצפנה חזקה כדי להסתיר את כל תעבורת הפיקוד והבקרה. הנתונים מפוענחים רק בזיכרון ולעולם לא נכתבים לדיסק, מה שמסבך עוד יותר את הגילוי והניתוח. התוכנה הזדונית מבצעת גם בדיקות סביבה כדי לקבוע אם היא פועלת בתוך סביבת בדיקה או ארגז חול. אם קיים חשד לניתוח, היא מפסיקה את פעילותה כדי למנוע חשיפה.
יכולות מבצעיות ומטרות זדוניות
באמצעות פונקציונליות הדלת האחורית שלו, PDFSIDER תומך במגוון רחב של פעילויות זדוניות, כולל:
- גניבת מידע רגיש כגון מסמכים, אישורים ומידע מערכת מפורט
- ניטור מתמשך של מכשירים נגועים ותנועה רוחבית אפשרית למערכות נוספות
יכולות אלו מציבות את PDFSIDER בעיקר ככלי לריגול ומעקב ארוך טווח, ומאפשרות לתוקפים לשמור על גישה שקטה לאורך תקופות ממושכות.
זיהום ממוקד באמצעות טעינת DLL צדדית
התוכנה הזדונית מופצת באמצעות הודעות דוא"ל פישינג שנוצרו בקפידה, המתחזות למקורות מהימנים ומספקות קובץ מצורף בפורמט ZIP. בתוך הארכיון נמצא קובץ הרצה המתחזה לקובץ התקנה של יישום לגיטימי בשם 'PDF24 App'. עם ההפעלה, לא מופיעה תוכנה גלויה, אך קובץ DLL זדוני המאוחסן לצד קובץ הרצה נטען במקום קובץ מערכת לגיטימי.
ניצול לרעה זה של טעינה צדדית של קבצי DLL מאפשר ל-PDFSIDER לעקוף מנגנוני אבטחה מסוימים ולגרום לזיהום מבלי להתריע למשתמש.
כלי ריגול מתמשך ומסוכן
PDFSIDER מייצג דלת אחורית המתמקדת בחשאיות, שנועדה לגישה לטווח ארוך. התנהגותה השוכנת בזיכרון, התקשורת המוצפנת והמודעות לסביבה מאפשרים לה להישאר מוסתרת תוך שמירה על שליטה מלאה על מערכות פרוצות. תכונות אלו הופכות אותה לכלי יעיל ביותר לגניבת נתונים, ניטור סמוי ופעולות ריגול קיברנטי מתמשכות.
