Malware PDFSIDER
PDFSIDER è una backdoor dannosa progettata per infiltrarsi nei sistemi presi di mira e garantire agli aggressori un accesso remoto persistente. Una volta attiva, aggira i controlli di sicurezza mascherandosi da file legittimo e sfruttando una tecnica nota come DLL side-loading. Una volta compromessa, la backdoor raccoglie immediatamente informazioni di sistema e consente l'esecuzione di comandi da remoto. Qualsiasi rilevamento confermato richiede una rimozione urgente a causa del livello di controllo che fornisce agli aggressori.
Sommario
Stealth tramite esecuzione solo in memoria
Una caratteristica distintiva di PDFSIDER è la sua capacità di operare principalmente nella memoria di sistema, riducendo significativamente la sua visibilità agli strumenti di sicurezza tradizionali. Dopo l'avvio, stabilisce silenziosamente canali di comunicazione nascosti ed esegue comandi tramite cmd.exe senza visualizzare alcuna finestra di comando. Questo approccio garantisce il pieno controllo remoto riducendo al minimo le tracce forensi su disco.
Dopo l'esecuzione del comando, il malware raccoglie informazioni di sistema dettagliate, genera un identificatore univoco per il dispositivo infetto e trasmette sia i dati raccolti sia l'output del comando agli aggressori.
Comunicazioni crittografate e tecniche anti-analisi
PDFSIDER si affida a una crittografia avanzata per nascondere tutto il traffico di comando e controllo. I dati vengono decrittografati solo in memoria e non vengono mai scritti su disco, complicando ulteriormente il rilevamento e l'analisi. Il malware esegue anche controlli ambientali per determinare se è in esecuzione in un ambiente di test o sandbox. Se si sospetta un'analisi in corso, si auto-termina per evitare l'esposizione.
Capacità operative e obiettivi dannosi
Grazie alla sua funzionalità backdoor, PDFSIDER supporta un'ampia gamma di attività dannose, tra cui:
- Furto di dati sensibili come documenti, credenziali e informazioni dettagliate sul sistema
- Monitoraggio continuo dei dispositivi infetti e potenziale spostamento laterale verso sistemi aggiuntivi
Queste funzionalità posizionano PDFSIDER principalmente come uno strumento per lo spionaggio e la sorveglianza a lungo termine, consentendo agli aggressori di mantenere l'accesso in modo discreto per periodi prolungati.
Infezione mirata tramite caricamento laterale DLL
Il malware viene distribuito tramite e-mail di phishing accuratamente create che si spacciano per fonti attendibili e inviano un allegato ZIP. All'interno dell'archivio è presente un file eseguibile che si spaccia per un programma di installazione per un'applicazione legittima chiamata "PDF24 App". All'avvio, non viene visualizzato alcun programma visibile, ma una DLL dannosa memorizzata insieme all'eseguibile viene caricata al posto di un file di sistema legittimo.
Questo abuso del caricamento laterale delle DLL consente a PDFSIDER di aggirare determinati meccanismi di sicurezza e di innescare infezioni senza avvisare l'utente.
Uno strumento di spionaggio persistente e pericoloso
PDFSIDER è una backdoor stealth progettata per l'accesso a lungo termine. Il suo comportamento residente in memoria, le comunicazioni crittografate e la consapevolezza dell'ambiente circostante le consentono di rimanere nascosta mantenendo al contempo il pieno controllo sui sistemi compromessi. Queste caratteristiche la rendono uno strumento altamente efficace per il furto di dati, il monitoraggio occulto e le operazioni di cyberspionaggio persistente.
