TamperedChef Stealer
Investigadors de ciberseguretat han descobert una campanya maliciosa que aprofita anuncis enganyosos en línia per distribuir un nou lladre d'informació conegut com a TamperedChef. L'operació es basa en la publicitat maliciosa per canalitzar els usuaris a llocs fraudulents on se'ls convenç de descarregar un editor de PDF amb troians.
Taula de continguts
Editor de PDF troià com a esquer
El programari fals, promocionat com a AppSuite PDF Editor, enganya els usuaris perquè instal·lin el que sembla una eina legítima. Durant la instal·lació, es presenta a les víctimes un acord de termes de servei, donant la il·lusió de legitimitat. Entre bastidors, però, l'instal·lador es connecta de manera encoberta a un servidor remot per eliminar l'aplicació de l'editor mentre altera simultàniament el Registre de Windows per establir la persistència.
L'instal·lador garanteix que el programa s'iniciï automàticament després de reiniciar-lo mitjançant la inserció d'arguments de línia d'ordres (--cm) al registre. Aquests arguments permeten que el programari maliciós rebi instruccions per executar diferents rutines malicioses.
Cronologia de l’atac
Les investigacions suggereixen que la campanya va començar el 26 de juny de 2025, coincidint amb el registre de diversos llocs web falsificats i el llançament d'almenys cinc campanyes publicitàries de Google que promocionaven l'editor de PDF. Inicialment, el programa semblava no amenaçador, però estava dissenyat per comprovar repetidament si hi havia actualitzacions d'un servidor remot.
El 21 d'agost de 2025, gairebé dos mesos després, les màquines infectades van començar a rebre instruccions que activaven la càrrega maliciosa de TamperedChef. Aquest enfocament per etapes va permetre als atacants maximitzar el nombre de víctimes abans d'habilitar el programari maliciós.
Les capacitats malicioses de TamperedChef
Un cop activat, TamperedChef realitza un reconeixement identificant les eines de seguretat instal·lades i tancant els navegadors web per la força. Això li atorga accés a dades sensibles com ara credencials i galetes emmagatzemades.
Una anàlisi més detallada va revelar que l'editor, ple de programari maliciós, també funciona com una porta del darrere amb múltiples opcions de línia d'ordres. Aquestes permeten la persistència, la neteja, la comunicació amb servidors de comandament i control (C2) i la manipulació de dades del navegador.
Funcions clau identificades:
--install: Crea tasques programades (PDFEditorScheduledTask, PDFEditorUScheduledTask) que s'executen amb arguments d'actualització i còpia de seguretat per activar operacions de comprovació i ping.
--cleanup: Executat pel desinstal·lador per esborrar els components de la porta del darrere, cancel·lar el registre de l'amfitrió i eliminar les tasques programades.
--ping: Estableix comunicació C2 per rebre instruccions per descarregar més programari maliciós, alterar el registre i exfiltrar dades.
--check: Contacta amb el C2 per actualitzacions de configuració, roba credencials, llegeix les claus del navegador i modifica els navegadors Chromium, OneLaunch i Wave.
--reboot: Similar a --check però també capaç de finalitzar processos específics.
Abús estratègic de campanyes publicitàries
L'elecció del moment per part dels atacants és notable. El retard de 56 dies entre el llançament de la campanya i l'activació maliciosa coincideix amb la vida útil típica de 60 dies de les campanyes publicitàries de Google. Això suggereix que els actors amenaçadors van permetre deliberadament que els anuncis s'executessin completament, maximitzant l'exposició i les descàrregues abans de desplegar totes les capacitats de TamperedChef.
