PDFSider, Malware Baru yang Bobol Jaringan Fortune 100

Ancaman kejahatan siber kembali meningkat setelah terungkapnya penggunaan malware Windows baru bernama PDFSider dalam serangan ransomware yang menargetkan sebuah perusahaan Fortune 100 di sektor keuangan. Malware ini dinilai berbahaya karena dirancang untuk menyusup secara diam-diam, sulit terdeteksi, dan mampu memberikan akses jangka panjang kepada penyerang.

Serangan tersebut tidak hanya mengandalkan celah teknis, tetapi juga memanfaatkan rekayasa sosial (social engineering). Para pelaku menyamar sebagai petugas dukungan teknis dan menghubungi karyawan perusahaan. Dengan meyakinkan korban, mereka menipu karyawan agar menginstal fitur Microsoft Quick Assist, sebuah alat resmi Windows yang memungkinkan akses jarak jauh. Dari titik inilah penyerang mulai mengambil alih sistem target.

Malware PDFSider pertama kali ditemukan oleh peneliti dari perusahaan keamanan siber Resecurity saat melakukan penanganan insiden. Menurut Resecurity, PDFSider berfungsi sebagai backdoor tersembunyi yang memungkinkan penyerang mempertahankan akses dalam jangka waktu lama. Karakteristiknya bahkan disebut mirip dengan teknik yang biasa digunakan dalam serangan Advanced Persistent Threat (APT), yaitu serangan terarah dengan tujuan jangka panjang.

Memanfaatkan Aplikasi Sah untuk Menyamar

Salah satu keunggulan PDFSider adalah kemampuannya menyamar di balik file yang terlihat sah. Malware ini dikirim melalui email spear-phishing yang berisi arsip ZIP. Di dalam arsip tersebut terdapat file executable (.EXE) asli dan bertanda tangan digital, yakni aplikasi PDF24 Creator dari Miron Geek Software GmbH. Namun, di dalam paket yang sama juga disisipkan file DLL berbahaya bernama cryptbase.dll.

Saat korban menjalankan file EXE tersebut, aplikasi akan secara otomatis memuat DLL berbahaya. Teknik ini dikenal sebagai DLL side-loading, sebuah metode yang sering digunakan penyerang untuk menjalankan kode berbahaya tanpa memicu kecurigaan sistem keamanan.

Dalam beberapa kasus, penyerang juga menambahkan dokumen umpan yang disesuaikan dengan target. Dokumen tersebut dibuat seolah-olah berasal dari pihak tepercaya, bahkan ada yang mencatut nama entitas pemerintah China sebagai penulis, demi meningkatkan tingkat keberhasilan serangan.

Resecurity menjelaskan bahwa meskipun file EXE memiliki tanda tangan digital resmi, perangkat lunak PDF24 memiliki celah keamanan yang bisa dieksploitasi. Celah inilah yang dimanfaatkan penyerang untuk menghindari sistem EDR (Endpoint Detection and Response) yang seharusnya mampu mendeteksi aktivitas berbahaya.

Bekerja Diam-diam dan Terenkripsi Kuat

PDFSider dikenal sebagai malware yang sangat sulit dideteksi. Ia bekerja langsung di memori sistem tanpa banyak menulis data ke hard disk, sehingga meninggalkan jejak digital yang sangat minim. Selain itu, malware ini menggunakan anonymous pipe untuk menjalankan perintah melalui Command Prompt (CMD).

Setiap perangkat yang terinfeksi akan diberi identitas unik, kemudian informasi sistem dikumpulkan dan dikirimkan ke server milik penyerang melalui DNS di port 53. Metode ini sering digunakan untuk menyamarkan lalu lintas data berbahaya agar terlihat seperti aktivitas jaringan normal.

Untuk melindungi komunikasi dengan server command-and-control (C2), PDFSider menggunakan library kriptografi Botan 3.0.0 serta enkripsi AES-256-GCM, standar enkripsi tingkat tinggi yang sulit ditembus. Data didekripsi langsung di memori, sehingga semakin menyulitkan proses analisis forensik.

Malware ini juga dilengkapi berbagai mekanisme anti-analisis, seperti pemeriksaan kapasitas RAM dan pendeteksian debugger. Jika terdeteksi berjalan di lingkungan sandbox atau alat analisis, PDFSider akan segera menghentikan operasinya.

Berdasarkan penilaian Resecurity, PDFSider lebih menyerupai alat spionase siber dibandingkan malware yang semata-mata mengejar keuntungan finansial. Dengan kemampuan akses jangka panjang, eksekusi perintah jarak jauh, serta komunikasi terenkripsi, PDFSider menjadi ancaman serius bagi perusahaan besar, khususnya di sektor keuangan yang menyimpan data sensitif bernilai tinggi.