كشفت شركة الأمن السيبراني Resecurity عن هجوم متطور يستخدم تقنية DLL Side-Loading لنشر برمجية خبيثة تُعرف باسم PDFSIDER. يعتمد المهاجمون على ملف تنفيذي شرعي مرتبط ببرنامج PDF24 Creator (المسمى “pdf24.exe”)، ليقوم بتحميل مكتبة DLL مزيفة تحمل اسم cryptbase.dll، ما يسمح بتجاوز أنظمة الكشف على نقاط النهاية. تعمل البرمجية بشكل أساسي في الذاكرة، مما يقلل من الآثار الرقمية على القرص ويصعّب عملية اكتشافها.
قدرات PDFSIDER في التجسس السيبراني
تجمع برمجية PDFSIDER بين أساليب التجسس التقليدية والوظائف الحديثة للتحكم عن بُعد، حيث تمنح المهاجمين القدرة على:
- جمع معلومات شاملة عن النظام المستهدف.
- تنفيذ أوامر عبر واجهة Shell مخفية.
- استخراج نتائج الأوامر عبر قناة اتصال مشفرة.
هذه القدرات تجعلها أداة قوية للتجسس السيبراني، خصوصًا في البيئات الحكومية والمؤسسات الكبرى التي تعتمد على أنظمة تشغيل معقدة ومتعددة المستخدمين.
طرق التوزيع وأساليب الهندسة الاجتماعية
يتم توزيع البرمجية عبر رسائل Spear-Phishing تحتوي على ملفات مضغوطة بصيغة ZIP، حيث يُخدع الضحايا لفتحها وتنفيذ الملف الخبيث. كما رصدت Resecurity أساليب أخرى أكثر دهاءً، إذ يقوم المهاجمون بانتحال صفة موظفي الدعم الفني للتواصل مع العاملين في المؤسسات الكبرى والهيئات الحكومية عبر منصات مثل Microsoft Teams أو QuickAssist، لتسليم الحزمة الخبيثة بشكل مباشر.
ارتباطات مع مجموعات فدية سيبرانية
أشارت Resecurity إلى أن أحد شركاء مجموعة Qilin Ransomware استخدم برمجية PDFSIDER في هجمات موجهة، مع توقع انضمام المزيد من المجموعات الإجرامية إلى استغلال هذه الأداة مستقبلًا. ومع ذلك، لا توجد أدلة حتى الآن على أن PDFSIDER يتم تسويقه ضمن نموذج Malware-as-a-Service (MaaS)، مما يشير إلى أنه يُستخدم بشكل انتقائي في عمليات تجسس وهجمات موجهة.
