Компания Rising, оператор платформы киберугроз, недавно обнаружила вредоносное ПО под названием PDFClick, маскирующееся под легитимный инструмент для работы с PDF-документами. Анализ показал, что программа, вопреки заявлениям на своем официальном сайте о "локальной обработке всех файлов", фактически загружает пользовательские данные на удаленные серверы. Это противоречие указывает на серьезные риски утечки конфиденциальной информации или проведения злоумышленных операций.
Описание
Исходный установочный файл "pdfclick.exe" представляет собой модифицированный исполняемый файл, созданный с помощью утилиты упаковки PyInstaller. Его поведение зависит от условий в системе. Например, если на компьютере обнаружен браузер Chrome, программа автоматически загружает дополнительный компонент обновления и создает запланированную задачу для обеспечения своего постоянного присутствия в системе. Если браузер не найден, этот шаг пропускается. Далее компонент обновления проверяет, запущен ли текущий процесс в 64-битном режиме, и использует различные методы для выполнения зашифрованных данных, полученных с сервера.
Технический анализ раскрывает детали работы этого вредоносного ПО. Установщик "pdfclick.exe", размером около 43 МБ, скрывает консольное окно при запуске. Его основная логика, написанная на Python, включает отправку инициализационного запроса на сервер и обработку ответа для настройки дальнейших действий. Критически важным является то, что архив PYZ внутри исполняемого файла был модифицирован. Стандартный идентификатор "b'PYZ\x00'" заменен на "b'FUQ\x00'", а алгоритм шифрования его содержимого усложнен двухэтапным XOR-шифрованием в сочетании со сжатием Zlib и обращением порядка байтов.
Конфигурация программы содержит множество параметров и URL-адресов, включая основной домен "kilonik.com" и путь для загрузки обновлений "https://pdup.kilonik.com/update". После установки программа распаковывает архив "PDFClick.zip" в папку пользователя "%LOCALAPPDATA%", создает ярлык на рабочем столе и, при наличии Chrome, загружает файл "PDFClickUpdater.exe". Именно этот компонент обновления отвечает за устойчивость (persistence) вредоносного ПО, регистрируя себя в Планировщике заданий Windows под именем "PDC_Update" для ежедневного запуска.
Анализ "PDFClickUpdater.exe" выявил его роль в выполнении произвольного кода с сервера. Программа отправляет на сервер "hamarit.com" данные, включая время установки и текущее время. В ответ она получает зашифрованные данные, которые расшифровываются с помощью алгоритма AES. Ключ и вектор инициализации для расшифровки генерируются на основе отправленных дат. После этого обновляющий компонент проверяет архитектуру текущего процесса. Если она совпадает с архитектурой полученного кода, тот выполняется непосредственно в памяти. В противном случае код записывается во временный файл и запускается в новом процессе соответствующей разрядности. Такая методика выполнения кода, получаемого извне, является высоко подозрительной и характерна для угроз.
Главное же противоречие кроется в основном приложении "PDFClick.exe". На своем сайте разработчик уверяет, что все операции с PDF - сжатие, объединение, конвертация - выполняются локально на устройстве пользователя, что должно гарантировать конфиденциальность. Однако обратная разработка кода демонстрирует обратное. При выборе пользователем любой функции программа отправляет его исходные файлы по защищенному протоколу HTTPS на конкретные удаленные серверы: "https://juk.kilonik[.]com/PDC/compress", "https://juk.kilonik[.]com/PDC/merge" и "https://juk.kilonik[.]com/PDC/convert/pdf". Это означает, что конфиденциальные документы покидают компьютер пользователя без его явного согласия и ведома.
Данный инцидент подчеркивает растущую изощренность угроз, маскирующихся под полезное ПО. Использование модифицированных инструментов упаковки, условной логики запуска, механизмов обеспечения устойчивости и обфускации кода значительно затрудняет обнаружение. Для пользователей это служит напоминанием о необходимости крайней осторожности при выборе программного обеспечения, особенно от малоизвестных разработчиков. Следует отдавать предпочтение продуктам проверенных вендоров, внимательно изучать политики конфиденциальности и использовать комплексные решения безопасности, способные обнаруживать подобные аномалии в поведении приложений. Антивирусные продукты Rising уже детектируют образцы, связанные с этой атакой.
Индикаторы компрометации
Domains
- hamarit.com
- kilonik.com
- pdfclickapp.com
MD5
- 6e9d65e0e7864115ce5b040f8d390c54
- b2b5f38b69f51196f57e797ca1989bae
- e51d3270e506a505b97d2ea5d7aeb383
- efbfe2cdcca3779ee92da5518d4b48b9
