Malware Baru PDFSider Ditemukan Menyusup ke Jaringan Perusahaan Fortune 100
Peneliti keamanan siber mengungkap keberadaan varian malware Windows baru bernama PDFSider yang digunakan dalam serangan ransomware terhadap sebuah perusahaan Fortune 100 di sektor keuangan. Malware ini dimanfaatkan untuk mengantarkan payload berbahaya dan mempertahankan akses jangka panjang ke sistem internal korban.
Dalam insiden tersebut, pelaku serangan mengandalkan teknik social engineering dengan menyamar sebagai petugas dukungan teknis. Karyawan perusahaan ditipu agar memasang fitur Quick Assist milik Microsoft, yang kemudian dimanfaatkan untuk memperoleh akses jarak jauh ke sistem Windows target.
Temuan ini diungkap oleh peneliti dari Resecurity saat melakukan respons insiden. Mereka mendeskripsikan PDFSider sebagai backdoor tersembunyi yang dirancang untuk akses jangka panjang, dengan karakteristik yang umum ditemukan pada teknik serangan tingkat lanjut atau advanced persistent threat (APT).
Memanfaatkan File Sah untuk Menyusup
PDFSider didistribusikan melalui email spearphishing yang menyertakan arsip ZIP. Di dalam arsip tersebut terdapat file executable (.EXE) sah yang telah ditandatangani secara digital, yakni perangkat lunak PDF24 Creator. Namun, paket yang sama juga menyertakan file pustaka dinamis (.DLL) berbahaya bernama cryptbase.dll.
Saat file EXE dijalankan, aplikasi tersebut akan memuat DLL berbahaya milik penyerang melalui teknik DLL side-loading. Cara ini memungkinkan eksekusi kode berbahaya tanpa memicu kecurigaan sistem keamanan, karena proses dijalankan oleh aplikasi dengan tanda tangan digital yang valid.
Dalam beberapa kampanye, penyerang juga menggunakan dokumen umpan yang tampak relevan dengan target, termasuk contoh dokumen yang seolah-olah berasal dari entitas pemerintah Tiongkok, guna meningkatkan tingkat keberhasilan korban membuka file berbahaya.
Teknik Siluman dan Enkripsi Tingkat Lanjut
Setelah aktif, PDFSider berjalan langsung di memori dan meninggalkan jejak minimal di disk. Malware ini menggunakan anonymous pipes untuk menjalankan perintah melalui CMD, serta mengumpulkan informasi sistem yang kemudian dikirim ke server penyerang melalui DNS pada port 53.
Setiap sistem yang terinfeksi diberikan pengenal unik. Komunikasi command-and-control diamankan menggunakan pustaka kriptografi Botan versi 3.0.0 dengan enkripsi AES-256-GCM. Proses dekripsi dilakukan langsung di memori untuk mengurangi jejak forensik, sementara autentikasi data menggunakan skema Authenticated Encryption with Associated Data (AEAD).
Menurut peneliti, pendekatan kriptografi semacam ini lazim digunakan pada malware remote shell dalam serangan terarah, di mana kerahasiaan dan integritas komunikasi menjadi prioritas utama.
Digunakan Berbagai Kelompok Ransomware
Resecurity menyebut PDFSider telah teridentifikasi dalam serangan yang dikaitkan dengan Qilin. Namun, tim threat hunting mereka menilai malware ini sudah digunakan secara aktif oleh beberapa aktor ransomware lain, menandakan adopsi yang cukup luas.
Malware ini juga dilengkapi mekanisme anti-analysis, termasuk pemeriksaan kapasitas RAM dan deteksi debugger. Jika terindikasi berjalan di lingkungan sandbox atau analisis, PDFSider akan menghentikan eksekusi lebih awal untuk menghindari deteksi.
Berdasarkan analisis keseluruhan, Resecurity menilai PDFSider lebih mendekati tradecraft spionase dibandingkan malware bermotif finansial murni. Desainnya difokuskan pada akses tersembunyi jangka panjang, eksekusi perintah jarak jauh yang fleksibel, serta komunikasi terenkripsi yang sulit dideteksi.
Temuan ini kembali menegaskan bahwa penyerang kini semakin mahir memanfaatkan perangkat lunak sah dan teknik canggih untuk melewati sistem pertahanan, terutama di lingkungan perusahaan besar dengan nilai target tinggi.
