Команда Resecurity обнаружила вредоносное ПО PDFSider, которое используется в целевой атаке против крупной финансовой организации. Вредонос продемонстрировал высокую степень сокрытия своей активности и способность устанавливать долгосрочный контроль над инфицированными системами. Он обходит большинство антивирусных решений и систем мониторинга сетевой активности.
Злоумышленники использовали технику социальной инженерии, представляясь сотрудниками службы техподдержки. Они уговаривали сотрудников компаний установить приложение Microsoft Quick Assist, чтобы обеспечить дистанционный доступ к компьютерам жертв. Для распространения PDFSider использовались целенаправленные атаки с использованием электронных писем с вложениями в виде архива ZIP. Внутри находился исполняемый файл PDF24 Creator с вредоносным компонентом — изменённой библиотекой cryptbase.dll. Когда жертва запускала основной файл, система загружала вредоносный элемент, используя известный метод загрузки сторонних DLL-библиотек (DLL sideloading).
Несмотря на то, что сам исполняемый файл имел цифровую подпись, используемые инструменты оказались подвержены уязвимостям, позволившим киберпреступникам избежать детектирования защитными механизмами. Такая практика стала возможной отчасти благодаря развитию технологий искусственного интеллекта, облегчающих выявление слабых мест в приложениях.
PDFSider внедряется в оперативную память компьютера жертвы, оставляя минимум следов на жёстком диске. Вредоносный компонент получает команды с удалённых серверов через скрытые каналы и генерирует уникальные идентификаторы для каждого устройства, обеспечивая централизованное управление действиями вредоносной программы. Программа также оснащается средствами защиты от анализа, проверяя объём доступной оперативной памяти и присутствие специализированных инструментов слежения, прекращая свою активность при обнаружении подозрительных условий среды исполнения.
Характеристики и поведение PDFSider ближе к тактикам кибершпионажа, нежели к стандартным программам-вымогателям. Его главной целью является предоставление удалённого контроля над компьютером жертвы и передача зашифрованных данных, сохраняя невидимость для большинства современных систем безопасности.
Злоумышленники использовали технику социальной инженерии, представляясь сотрудниками службы техподдержки. Они уговаривали сотрудников компаний установить приложение Microsoft Quick Assist, чтобы обеспечить дистанционный доступ к компьютерам жертв. Для распространения PDFSider использовались целенаправленные атаки с использованием электронных писем с вложениями в виде архива ZIP. Внутри находился исполняемый файл PDF24 Creator с вредоносным компонентом — изменённой библиотекой cryptbase.dll. Когда жертва запускала основной файл, система загружала вредоносный элемент, используя известный метод загрузки сторонних DLL-библиотек (DLL sideloading).
Несмотря на то, что сам исполняемый файл имел цифровую подпись, используемые инструменты оказались подвержены уязвимостям, позволившим киберпреступникам избежать детектирования защитными механизмами. Такая практика стала возможной отчасти благодаря развитию технологий искусственного интеллекта, облегчающих выявление слабых мест в приложениях.
PDFSider внедряется в оперативную память компьютера жертвы, оставляя минимум следов на жёстком диске. Вредоносный компонент получает команды с удалённых серверов через скрытые каналы и генерирует уникальные идентификаторы для каждого устройства, обеспечивая централизованное управление действиями вредоносной программы. Программа также оснащается средствами защиты от анализа, проверяя объём доступной оперативной памяти и присутствие специализированных инструментов слежения, прекращая свою активность при обнаружении подозрительных условий среды исполнения.
Характеристики и поведение PDFSider ближе к тактикам кибершпионажа, нежели к стандартным программам-вымогателям. Его главной целью является предоставление удалённого контроля над компьютером жертвы и передача зашифрованных данных, сохраняя невидимость для большинства современных систем безопасности.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь