มัลแวร์ PDFSIDER
PDFSIDER เป็นแบ็กดอร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อแทรกซึมเข้าไปในระบบเป้าหมายและให้ผู้โจมตีสามารถเข้าถึงระบบจากระยะไกลได้อย่างต่อเนื่อง เมื่อทำงานแล้ว มันจะหลีกเลี่ยงการควบคุมความปลอดภัยโดยการปลอมตัวเป็นไฟล์ที่ถูกต้องและใช้เทคนิคที่เรียกว่า DLL side-loading เมื่อเจาะระบบได้สำเร็จ มัลแวร์จะรวบรวมข้อมูลระบบทันทีและทำให้สามารถเรียกใช้คำสั่งจากระยะไกลได้ การตรวจพบใด ๆ ที่ได้รับการยืนยันจะต้องทำการลบออกโดยด่วนเนื่องจากระดับการควบคุมที่มันมอบให้แก่ผู้คุกคาม
สารบัญ
การลอบเร้นผ่านการประมวลผลโดยใช้หน่วยความจำเพียงอย่างเดียว
คุณสมบัติเด่นของ PDFSIDER คือความสามารถในการทำงานส่วนใหญ่ในหน่วยความจำระบบ ซึ่งช่วยลดการตรวจจับโดยเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมได้อย่างมาก หลังจากเริ่มทำงาน โปรแกรมจะสร้างช่องทางการสื่อสารที่ซ่อนไว้และเรียกใช้คำสั่งผ่าน cmd.exe โดยไม่แสดงหน้าต่างคำสั่งใดๆ วิธีนี้ช่วยให้สามารถควบคุมจากระยะไกลได้อย่างเต็มที่ ในขณะเดียวกันก็ลดร่องรอยการตรวจสอบทางนิติวิทยาศาสตร์บนดิสก์ให้น้อยที่สุด
หลังจากดำเนินการตามคำสั่งแล้ว มัลแวร์จะรวบรวมข้อมูลระบบโดยละเอียด สร้างตัวระบุเฉพาะสำหรับอุปกรณ์ที่ติดไวรัส และส่งทั้งข้อมูลที่รวบรวมได้และผลลัพธ์ของคำสั่งกลับไปยังผู้โจมตี
การสื่อสารที่เข้ารหัสและเทคนิคต่อต้านการวิเคราะห์
PDFSIDER ใช้การเข้ารหัสที่แข็งแกร่งเพื่อปกปิดการรับส่งข้อมูลคำสั่งและการควบคุมทั้งหมด ข้อมูลจะถูกถอดรหัสเฉพาะในหน่วยความจำและจะไม่ถูกเขียนลงดิสก์ ซึ่งทำให้การตรวจจับและการวิเคราะห์ทำได้ยากยิ่งขึ้น มัลแวร์ยังทำการตรวจสอบสภาพแวดล้อมเพื่อพิจารณาว่ากำลังทำงานอยู่ในสภาพแวดล้อมการทดสอบหรือแซนด์บ็อกซ์หรือไม่ หากสงสัยว่ากำลังถูกวิเคราะห์ มัลแวร์จะยุติการทำงานเพื่อหลีกเลี่ยงการถูกเปิดเผย
ขีดความสามารถในการปฏิบัติงานและเป้าหมายที่เป็นอันตราย
ด้วยฟังก์ชันแบ็กดอร์ของมัน PDFSIDER จึงสนับสนุนกิจกรรมที่เป็นอันตรายหลากหลายรูปแบบ รวมถึง:
- การขโมยข้อมูลสำคัญ เช่น เอกสาร ข้อมูลประจำตัว และข้อมูลระบบโดยละเอียด
- การตรวจสอบอุปกรณ์ที่ติดเชื้ออย่างต่อเนื่อง และการแพร่กระจายไปยังระบบอื่นๆ ที่อาจเกิดขึ้น
ความสามารถเหล่านี้ทำให้ PDFSIDER เหมาะที่จะใช้เป็นเครื่องมือสำหรับการสอดแนมและการเฝ้าระวังระยะยาวเป็นหลัก ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบได้อย่างเงียบๆ เป็นเวลานาน
การติดเชื้อแบบเจาะจงเป้าหมายผ่านการโหลด DLL ด้านข้าง
มัลแวร์นี้แพร่กระจายผ่านอีเมลฟิชชิ่งที่สร้างขึ้นอย่างพิถีพิถัน โดยปลอมตัวเป็นแหล่งที่มาที่น่าเชื่อถือและแนบไฟล์ ZIP มาด้วย ภายในไฟล์ ZIP นั้นมีไฟล์ปฏิบัติการที่ปลอมตัวเป็นโปรแกรมติดตั้งสำหรับแอปพลิเคชันที่ถูกต้องตามกฎหมายชื่อ 'PDF24 App' เมื่อเรียกใช้งาน โปรแกรมจะไม่ปรากฏขึ้น แต่ไฟล์ DLL ที่เป็นอันตรายซึ่งจัดเก็บไว้พร้อมกับไฟล์ปฏิบัติการจะถูกโหลดแทนที่ไฟล์ระบบที่ถูกต้องตามกฎหมาย
การใช้วิธีโหลด DLL จากภายนอกในทางที่ผิดนี้ ทำให้ PDFSIDER สามารถหลีกเลี่ยงกลไกการรักษาความปลอดภัยบางอย่างและก่อให้เกิดการติดเชื้อโดยไม่แจ้งเตือนผู้ใช้
เครื่องมือจารกรรมที่ทรงประสิทธิภาพและอันตราย
PDFSIDER คือแบ็กดอร์ที่ออกแบบมาเพื่อการเข้าถึงในระยะยาวโดยเน้นการซ่อนตัว การทำงานแบบเก็บซ่อนในหน่วยความจำ การสื่อสารแบบเข้ารหัส และการรับรู้สภาพแวดล้อม ทำให้มันสามารถซ่อนตัวอยู่ได้ในขณะที่ยังคงควบคุมระบบที่ถูกบุกรุกได้อย่างสมบูรณ์ คุณสมบัติเหล่านี้ทำให้มันเป็นเครื่องมือที่มีประสิทธิภาพสูงสำหรับการขโมยข้อมูล การสอดแนมอย่างลับๆ และการจารกรรมทางไซเบอร์อย่างต่อเนื่อง
