Хакеры используют приложение PDF24 для распространения скрытого бэкдора PDFSIDER

Морда 19 января

Хакеры используют приложение PDF24 для распространения скрытого бэкдора PDFSIDER

Исследователи из компании Resecurity выявили новую киберугрозу, связанную с вредоносным ПО PDFSIDER, которое эксплуатирует легитимное приложение PDF24 для установки бэкдора, обеспечивающего кражу данных и удалённый доступ.

Атака начинается с фишинговых email, побуждающих жертв скачать ZIP-архив, содержащий оригинальное приложение PDF24 от Miron Geek Software GmbH. Хакеры используют технику DLL side-loading, размещая вредоносный файл cryptbase.dll в той же папке, что и PDF24.exe.

При запуске программы вредоносный код загружается в память, обходя антивирусные системы. Malware применяет команду CREATE_NO_WINDOW для скрытия консоли, криптографическую библиотеку Botan 3.0.0 с шифрованием AES-256-GCM для защиты украденных данных, генерирует уникальный ID заражённого устройства и эксфильтрует информацию на приватный VPS-сервер через DNS-порт 53.

Кроме того, оно проверяет объём оперативной памяти с помощью функции GlobalMemoryStatusEx и выходит, если обнаруживает низкий уровень, предполагая среду песочницы.

Анализ Resecurity, опубликованный в их блоге, подтвердил, что PDFSIDER предназначен для долгосрочного шпионажа с использованием техник уклонения, включая исполнение только в памяти и обнаружение виртуальных сред.