Phần mềm độc hại PDFSIDER

PDFSIDER là một phần mềm độc hại dạng cửa hậu được thiết kế để xâm nhập vào các hệ thống mục tiêu và cấp cho kẻ tấn công quyền truy cập từ xa liên tục. Sau khi kích hoạt, nó vượt qua các biện pháp kiểm soát bảo mật bằng cách ngụy trang thành một tập tin hợp pháp và sử dụng kỹ thuật được gọi là tải DLL từ bên ngoài (DLL side-loading). Sau khi xâm nhập thành công, phần mềm độc hại ngay lập tức thu thập thông tin hệ thống và cho phép thực thi lệnh từ xa. Bất kỳ trường hợp phát hiện nào được xác nhận đều cần phải loại bỏ khẩn cấp do mức độ kiểm soát mà nó cung cấp cho các tác nhân đe dọa.

Tàng hình thông qua việc thực thi chỉ trong bộ nhớ

Một đặc điểm nổi bật của PDFSIDER là khả năng hoạt động chủ yếu trong bộ nhớ hệ thống, làm giảm đáng kể khả năng bị các công cụ bảo mật truyền thống phát hiện. Sau khi khởi chạy, nó âm thầm thiết lập các kênh liên lạc ẩn và thực thi các lệnh thông qua cmd.exe mà không hiển thị bất kỳ cửa sổ lệnh nào. Cách tiếp cận này cho phép điều khiển từ xa hoàn toàn trong khi giảm thiểu dấu vết điều tra trên ổ đĩa.

Sau khi thực thi lệnh, phần mềm độc hại sẽ thu thập thông tin hệ thống chi tiết, tạo ra một mã định danh duy nhất cho thiết bị bị nhiễm và truyền cả dữ liệu thu thập được lẫn kết quả đầu ra của lệnh trở lại cho kẻ tấn công.

Truyền thông mã hóa và các kỹ thuật chống phân tích

PDFSIDER dựa vào mã hóa mạnh mẽ để che giấu mọi lưu lượng điều khiển và quản trị. Dữ liệu chỉ được giải mã trong bộ nhớ và không bao giờ được ghi vào ổ đĩa, điều này càng làm phức tạp thêm việc phát hiện và phân tích. Phần mềm độc hại này cũng thực hiện kiểm tra môi trường để xác định xem nó đang chạy trong môi trường thử nghiệm hay môi trường hộp cát. Nếu nghi ngờ bị phân tích, nó sẽ tự chấm dứt để tránh bị phát hiện.

Khả năng hoạt động và mục tiêu độc hại

Thông qua chức năng cửa hậu, PDFSIDER hỗ trợ nhiều hoạt động độc hại, bao gồm:

• Đánh cắp dữ liệu nhạy cảm như tài liệu, thông tin đăng nhập và thông tin chi tiết hệ thống.
• Giám sát liên tục các thiết bị bị nhiễm và khả năng lây lan sang các hệ thống khác.

Những khả năng này định vị PDFSIDER chủ yếu như một công cụ để do thám và giám sát dài hạn, cho phép kẻ tấn công âm thầm duy trì quyền truy cập trong thời gian dài.

Nhiễm trùng có chủ đích thông qua tải DLL bên ngoài

Phần mềm độc hại này được phát tán thông qua các email lừa đảo được soạn thảo kỹ lưỡng, giả mạo các nguồn đáng tin cậy và gửi kèm tệp đính kèm ZIP. Bên trong tệp lưu trữ là một tệp thực thi giả danh trình cài đặt cho một ứng dụng hợp pháp có tên 'PDF24 App'. Khi khởi chạy, không có chương trình nào hiển thị, nhưng một tệp DLL độc hại được lưu trữ cùng với tệp thực thi sẽ được tải thay thế cho một tệp hệ thống hợp pháp.

Việc lạm dụng kỹ thuật tải DLL từ bên ngoài này cho phép PDFSIDER vượt qua một số cơ chế bảo mật và gây lây nhiễm mà không cảnh báo người dùng.

Một công cụ gián điệp dai dẳng và nguy hiểm.

PDFSIDER là một phần mềm độc hại dạng cửa hậu được thiết kế để truy cập lâu dài. Khả năng hoạt động trong bộ nhớ, mã hóa thông tin liên lạc và nhận biết môi trường cho phép nó ẩn mình trong khi vẫn duy trì toàn quyền kiểm soát các hệ thống bị xâm nhập. Những đặc điểm này khiến nó trở thành một công cụ cực kỳ hiệu quả để đánh cắp dữ liệu, giám sát bí mật và thực hiện các hoạt động gián điệp mạng dai dẳng.