PDFSider, avagy a PDF-alkalmazásnak álcázott veszedelem

​A PDFSider nevű kártékony program egy ártalmatlan PDF-kezelő alkalmazást használ fel a terjedéséhez.
 

A vírusterjesztők továbbra is előszeretettel élnek vissza ártalmatlan szoftverekkel annak érdekében, hogy azok segítségével leplezzék a saját nemkívánatos kódjaikat, fájljaikat. Ezt teszik a PDFSider malware terjesztői is, akik ezúttal a PDF24 Creator alkalmazáshoz kapcsolták hozzá a kártevőjüket.
 
A Resecurity cég biztonsági kutatói szerint a PDFSider egy nehezen detektálható, meglehetősen szofisztikált kártékony program, amely célzott támadásokban jut szerephez. Egyebek mellett már az egyik Fortune 100 vállalatnál is kimutatható volt.
 
A PDFSider alapvető feladata, hogy egy hátsó kaput létesítsen a fertőzött rendszereken, majd titkosított módon fogadja a támadók parancsait egy távoli vezérlőszerveren keresztül. (A titkosításhoz a Botan kriptográfiai könyvtárat használja.)
 
A biztonsági kutatók elemzése azt mutatja, hogy a PDFSider adathalász levelek révén jut el a célpontokhoz egy ZIP-fájlba csomagolva. Amennyiben ezt a megtévesztett felhasználó kibontja és elindítja, akkor a károkozó gondosan feltérképezi, hogy nem virtualizált, illetve sandbox környezetbe került-e. Amennyiben nem, akkor létrehozza a hátsó kaput. Eközben pedig gondosan ügyel arra, hogy a fájlrendszeren minél kevesebb nyomot hagyjon.
 
A Resecurity megjegyezte, hogy már vannak információk arra vonatkozóan, hogy a PDFSidert zsarolóvírusokat terjesztő kiberbandák is elkezdték bevetni.