كشف خبراء الأمن السيبراني عن برمجية خبيثة جديدة تعرف باسم PDFSIDER، تعمل كباب خلفي متطور يمنح المهاجمين سيطرة طويلة الأمد على أنظمة ويندوز، مع قدرة ملحوظة على تجاوز معظم برامج مكافحة الفيروسات وأنظمة كشف الاستجابة لنقاط النهاية (EDR).
تستغل هذه البرمجية تطبيقات موثوقة وتعتمد على تشفير قوي لإخفاء وجودها، مما يتيح للمتسللين تنفيذ الأوامر، واستكشاف الشبكة، والتعمق داخل البيئات المستهدفة دون اكتشاف.
تعتمد الحملة التي تقف وراء PDFSIDER على هجمات التصيد الاحتيالي الموجهة بعناية (Spear Phishing). حيث يستلم الضحايا رسائل بريد إلكتروني تحتوي على أرشيف مضغوط (ZIP) يتضمن ملف تشغيلي شرعي لبرنامج PDF24 Creator، موقع بشهادة صالحة، بالإضافة إلى ملفات مرافقة أخرى.
عند تشغيل المستخدم للتطبيق الموثوق، يتم تنشيط حمولة خبيثة مخفية بدلاً من فتح عارض المستندات المتوقع، مما يبدأ عملية الاختراق بعلامات مرئية قليلة جدًا.
وقد تمكن محللو شركة Resecurity من تحديد PDFSIDER خلال محاولة اقتحام ضد إحدى الشركات المدرجة ضمن قائمة Fortune 100، والتي تم إحباطها قبل حدوث أي فقدان للبيانات.
وتظهر التحقيقات أن هذه البرمجية الخبيثة تُستخدم بالفعل من قبل عدة مجموعات برمجيات الفدية (Ransomware) وجهات فاعلة متقدمة كأداة تحميل حمولات موثوقة، قادرة على التفلت من ضوابط الأمان القياسية.
يبدو تصميم الأداة وطريقة عملها أقرب إلى تكتيكات التجسس منها إلى الجرائم المباشرة والسطحية.
PDFSIDER: تهديد جديد يتحدى آليات الكشف
يشكل PDFSIDER تحديًا كبيرًا لآليات الدفاع الحالية، حيث يمزج بين تطبيق شرعي، وملف DLL مزيف (cryptbase.dll)، وحركة مرور مشفرة موجهة إلى خوادم التحكم والسيطرة عبر منفذ DNS رقم 53.
من خلال العمل بشكل أساسي في الذاكرة، والتحقق من وجود بيئات افتراضية أو أدوات تصحيح، وتجنب سلاسل الاستغلال الصاخبة، أصبحت طرق الكشف التقليدية المعتمدة على التوقيعات واختبارات الحماية في البيئات المعزولة (Sandbox) أقل فعالية.
تبدأ عملية العدوى عندما يقوم الضحية بتشغيل الملف التنفيذي لـ PDF24 المعدل من الأرشيف المستلم. وفي نفس المجلد، يضع المهاجمون ملف DLL خبيث (cryptbase.dll) يستغل قواعد التحميل الجانبي لملفات DLL، مما يؤدي إلى تحميل البرنامج للمكتبة الخبيثة بدلاً من الملف النظامي الأصلي.
بمجرد تحميله، يقوم PDFSIDER بتهيئة Winsock، وجمع تفاصيل النظام، وبناء معرف فريد للجهاز، وإنشاء حلقة باب خلفي تعمل بالكامل في الذاكرة.
بعد ذلك، تنشئ البرمجية الخبيثة أنابيب مجهولة (anonymous pipes) وتشغل عملية cmd.exe مخفية باستخدام علامة CREATE_NO_WINDOW.
يتم تنفيذ أي أوامر يتم إرسالها من قبل المشغلين دون الحاجة لنافذة وحدة تحكم، ويتم التقاط المخرجات وإرسالها مرة أخرى عبر قناة مشفرة بتشفير AES 256 GCM، مدعومة بمكتبة Botan.
نظرًا لأن جميع حركة المرور محمية بشكل قوي ولا يتم كتابتها على القرص أبدًا، فإن أدوات الأمان لا ترى سوى طلبات DNS تبدو طبيعية، بينما يتمتع المهاجمون بسيطرة كاملة عبر نافذة أوامر عن بعد.