Крадец TamperedChef
Изследователи по киберсигурност разкриха злонамерена кампания, която използва подвеждащи онлайн реклами, за да разпространява нов софтуер за кражба на информация, известен като TamperedChef. Операцията разчита на злонамерена реклама, за да насочва потребителите към измамни сайтове, където те биват убеждавани да изтеглят троянски PDF редактор.
Съдържание
Троянизиран PDF редактор като примамка
Фалшивият софтуер, рекламиран като AppSuite PDF Editor, подвежда потребителите да инсталират инструмент, който изглежда като легитимен. По време на инсталацията на жертвите се представя споразумение за условия на ползване, което създава илюзията за легитимност. Зад кулисите обаче инсталаторът тайно се свързва с отдалечен сървър, за да премахне приложението за редактор, като едновременно с това променя системния регистър на Windows, за да осигури неговата постоянство.
Инсталаторът гарантира, че програмата ще се стартира автоматично след рестартиране, като вгражда аргументи от командния ред (--cm) в системния регистър. Тези аргументи позволяват на зловредния софтуер да получава инструкции за изпълнение на различни злонамерени рутини.
Хронология на атаката
Разследванията показват, че кампанията е започнала на 26 юни 2025 г., съвпадайки с регистрацията на няколко фалшиви сайта и стартирането на поне пет рекламни кампании на Google, промотиращи PDF редактора. Първоначално програмата е изглеждала безобидна, но е била проектирана да проверява многократно за актуализации от отдалечен сървър.
На 21 август 2025 г., почти два месеца по-късно, заразените машини започнаха да получават инструкции, които активираха зловредния полезен товар на TamperedChef. Този поетапен подход позволи на атакуващите да увеличат максимално броя на жертвите, преди да активират зловредния софтуер.
Злонамерените възможности на TamperedChef
След активиране, TamperedChef извършва разузнаване, като идентифицира инсталирани инструменти за сигурност и принудително затваря уеб браузърите. Това му предоставя достъп до чувствителни данни, като например съхранени идентификационни данни и „бисквитки“.
По-нататъшен анализ разкри, че редакторът, пълен със зловреден софтуер, функционира и като задна врата с множество опции от командния ред. Те позволяват запазване на данни, почистване, комуникация със сървъри за командване и контрол (C2) и манипулиране на данни от браузъра.
Идентифицирани ключови функции:
--install: Създава планирани задачи (PDFEditorScheduledTask, PDFEditorUScheduledTask), които се изпълняват с аргументи за актуализиране и архивиране, за да задействат операции за проверка и ping.
--cleanup: Изпълнява се от деинсталатора за изтриване на компоненти на задната вратичка, дерегистриране на хоста и премахване на планирани задачи.
--ping: Установява C2 комуникация за получаване на инструкции за изтегляне на още зловреден софтуер, промяна на системния регистър и извличане на данни.
--check: Свързва се с C2 за актуализации на конфигурацията, краде идентификационни данни, чете ключове на браузъра и модифицира браузърите Chromium, OneLaunch и Wave.
--reboot: Подобно на --check, но също така може да прекрати специфични процеси.
Стратегическа злоупотреба с рекламни кампании
Изборът на време от страна на нападателите е забележителен. 56-дневното забавяне между стартирането на кампанията и злонамереното активиране съвпада почти с типичния 60-дневен живот на рекламните кампании на Google. Това предполага, че злонамерените лица умишлено са позволили на рекламите да се изпълнят пълния си цикъл, увеличавайки максимално видимостта и изтеглянията, преди да разгърнат пълните възможности на TamperedChef.
