سارق TamperedChef
كشف باحثو الأمن السيبراني عن حملة خبيثة تستغل إعلانات إلكترونية خادعة لتوزيع برنامج جديد لسرقة المعلومات يُعرف باسم TamperedChef. تعتمد العملية على الإعلانات الخبيثة لتوجيه المستخدمين إلى مواقع احتيالية، حيث يتم إقناعهم بتنزيل محرر ملفات PDF مُصاب بحصان طروادة.
جدول المحتويات
محرر PDF الملوث بحصان طروادة كطُعم
البرنامج المزيف، الذي يُروَّج له باسم AppSuite PDF Editor، يخدع المستخدمين لتثبيت ما يبدو أنه أداة شرعية. أثناء التثبيت، يُعرض على الضحايا اتفاقية شروط الخدمة، مما يوهمهم بالشرعية. لكن خلف الكواليس، يتصل برنامج التثبيت سرًا بخادم بعيد لإيقاف تطبيق المحرر، مع تعديل سجل Windows في الوقت نفسه لضمان استمرارية البرنامج.
يضمن المُثبِّت تشغيل البرنامج تلقائيًا بعد إعادة التشغيل عن طريق تضمين وسيطات سطر الأوامر (--cm) في سجل النظام. تُمكِّن هذه الوسيطات البرنامج الخبيث من تلقي تعليمات لتنفيذ إجراءات خبيثة مختلفة.
الجدول الزمني للهجوم
تشير التحقيقات إلى أن الحملة بدأت في 26 يونيو/حزيران 2025، تزامنًا مع تسجيل عدة مواقع مزيفة وإطلاق ما لا يقل عن خمس حملات إعلانية على جوجل للترويج لمحرر ملفات PDF. في البداية، بدا البرنامج غير مُهدد، ولكنه صُمم للتحقق بشكل متكرر من التحديثات من خادم بعيد.
في 21 أغسطس 2025، أي بعد شهرين تقريبًا، بدأت الأجهزة المصابة بتلقي تعليمات تُفعّل حمولة TamperedChef الخبيثة. سمح هذا النهج التدريجي للمهاجمين باستهداف أكبر عدد ممكن من الضحايا قبل تفعيل البرمجية الخبيثة.
القدرات الخبيثة لبرنامج TamperedChef
بمجرد تفعيله، يُجري TamperedChef استطلاعًا لتحديد أدوات الأمان المُثبّتة وإيقاف متصفحات الويب قسرًا. هذا يُتيح له الوصول إلى بيانات حساسة، مثل بيانات الاعتماد المُخزّنة وملفات تعريف الارتباط.
كشف تحليلٌ إضافيٌّ أن المحرر المُشبَع بالبرمجيات الخبيثة يعمل أيضًا كبوابة خلفية مع خيارات سطر أوامر متعددة. تُتيح هذه الخيارات الاستمرارية، والتنظيف، والتواصل مع خوادم القيادة والتحكم (C2)، والتلاعب ببيانات المتصفح.
الوظائف الرئيسية التي تم تحديدها:
--install: يقوم بإنشاء مهام مجدولة (PDFEditorScheduledTask، PDFEditorUScheduledTask) يتم تشغيلها باستخدام وسيطات التحديث والنسخ الاحتياطي لتشغيل عمليات الفحص والاختبار.
--cleanup: يتم تنفيذه بواسطة برنامج إلغاء التثبيت لمسح مكونات الباب الخلفي، وإلغاء تسجيل المضيف، وإزالة المهام المجدولة.
--ping: إنشاء اتصال C2 لتلقي التعليمات الخاصة بتنزيل المزيد من البرامج الضارة، وتعديل السجل، واستخراج البيانات.
--check: يتصل بـ C2 للحصول على تحديثات التكوين، ويسرق بيانات الاعتماد، ويقرأ مفاتيح المتصفح، ويعدل متصفحات Chromium، وOneLaunch، وWave.
--reboot: مشابه لـ --check ولكنه قادر أيضًا على إنهاء عمليات محددة.
الإساءة الاستراتيجية للحملات الإعلانية
يُلاحظ اختيار المهاجمين للتوقيت. فالتأخير البالغ 56 يومًا بين إطلاق الحملة وتفعيلها الخبيث يُقارب تقريبًا عمر حملات إعلانات جوجل المعتاد (60 يومًا). وهذا يُشير إلى أن الجهات المُهدّدة سمحت عمدًا للإعلانات بالاستمرار في مسارها الكامل، مما زاد من عدد مرات الظهور والتنزيلات قبل إطلاق كامل إمكانيات TamperedChef.
