Rejtett kártevő: veszélyes ZIP-csomaggal támadnak
A PDFSider hátsó kaput nyit a rendszerben, és titkos, hosszú távú hozzáférést biztosít a támadóknak. A támadás célzott adathalász e-maillel indul, amelyhez ZIP-archívumot csatolnak. Ebben egyrészt egy hiteles, digitálisan aláírt PDF24 Creator telepítő található, másrészt egy módosított, ártalmas DLL-fájl – cryptbase.dll néven. Ez a DLL az alkalmazás működéséhez szükséges, így természetesnek tűnik, hogy fut, közben viszont beengedi a kártevőt.
Professzionális kód, titkos kommunikáció
Ha az áldozat megnyitja a mellékletet, a jogtiszta EXE betölti a fertőzött DLL-t, ami különféle parancsokat hajt végre – a támadóknak teljesen rejtett hozzáférést enged a géphez. A PDFSider kizárólag a memóriában fut, alig hagy nyomot a merevlemezen, valamint titkosított csatornán (DNS-en keresztül, az 53-as porton) küldi az összegyűjtött információkat a bűnözők szerverére. Az AES-256-GCM titkosítás és a Botan 3.0.0 könyvtár gondoskodnak róla, hogy a kommunikáció ne legyen visszafejthető, ráadásul többféle trükköt bevet a kártevőelemzők kijátszására: például felismeri a virtuális környezetet, vagy a memóriaméretet vizsgálva hagyja abba a működést, ha az elemzés veszélyét észleli.
Kémkedés vagy pénzszerzés?
A PDFSider fejlett titkosítási módszerekkel és rugalmas parancsvégrehajtással olyan rejtett, hosszú távú jelenlétet biztosít a támadóknak, amely inkább emlékeztet kémkedési eszközökre, mint pusztán pénzszerzésre épülő zsarolóvírusra. A mesterséges intelligenciával támogatott kódfejlesztés elterjedése miatt pedig egyre könnyebbé vált a hasonló támadások kidolgozása – így a jövőben további hasonló támadásokra is számítani lehet.
