Zloděj TamperedChef
Výzkumníci v oblasti kybernetické bezpečnosti odhalili škodlivou kampaň, která využívá klamavé online reklamy k distribuci nového viru pro krádež informací známého jako TamperedChef. Tato operace se spoléhá na škodlivou reklamu, která přesměrovává uživatele na podvodné stránky, kde jsou přesvědčeni ke stažení trojského koně, editoru PDF.
Obsah
Trojanizovaný PDF editor jako návnada
Falešný software, propagovaný jako AppSuite PDF Editor, lstí přiměje uživatele k instalaci nástroje, který se jeví jako legitimní. Během instalace jsou obětem předloženy podmínky služby, což vytváří iluzi legitimity. V zákulisí se však instalační program skrytě připojí ke vzdálenému serveru, aby odstranil editor a zároveň upravil registr systému Windows, aby zajistil jeho trvalost.
Instalační program zajišťuje automatické spuštění programu po restartu počítače vložením argumentů příkazového řádku (--cm) do registru. Tyto argumenty umožňují malwaru přijímat instrukce ke spuštění různých škodlivých rutin.
Časová osa útoku
Vyšetřování naznačuje, že kampaň začala 26. června 2025, což se shodovalo s registrací několika padělaných webů a spuštěním nejméně pěti reklamních kampaní Google propagujících tento PDF editor. Program se zpočátku jevil jako bezpečný, ale byl navržen tak, aby opakovaně kontroloval aktualizace ze vzdáleného serveru.
21. srpna 2025, téměř o dva měsíce později, začaly infikované počítače dostávat instrukce, které aktivovaly škodlivý obsah TamperedChef. Tento postupný přístup umožnil útočníkům maximalizovat počet obětí před aktivací malwaru.
Škodlivé schopnosti TamperedChefa
Po aktivaci TamperedChef provádí průzkum identifikací nainstalovaných bezpečnostních nástrojů a násilným vypnutím webových prohlížečů. To mu umožňuje přístup k citlivým údajům, jako jsou uložené přihlašovací údaje a soubory cookie.
Další analýza odhalila, že editor s malwarem funguje také jako zadní vrátka s několika možnostmi příkazového řádku. Ty umožňují perzistenci, čištění, komunikaci se servery C2 (Command-and-Control) a manipulaci s daty prohlížeče.
Identifikované klíčové funkce:
--install: Vytvoří naplánované úlohy (PDFEditorScheduledTask, PDFEditorUScheduledTask), které se spustí s argumenty aktualizace a zálohy pro spuštění operací kontroly a pingu.
--cleanup: Spustí odinstalační program k vymazání komponent zadních vrátek, zrušení registrace hostitele a odstranění naplánovaných úloh.
--ping: Navazuje komunikaci C2 pro příjem pokynů ke stažení dalšího malwaru, úpravě registru a exfiltraci dat.
--check: Kontaktuje C2 kvůli aktualizacím konfigurace, krade přihlašovací údaje, čte klíče prohlížeče a upravuje prohlížeče Chromium, OneLaunch a Wave.
--reboot: Podobné jako --check, ale také schopné ukončit specifické procesy.
Strategické zneužívání reklamních kampaní
Pozoruhodný je časový harmonogram, který si útočníci zvolili. 56denní prodleva mezi spuštěním kampaně a aktivací škodlivého kódu se úzce shoduje s typickou 60denní délkou trvání reklamních kampaní Google. To naznačuje, že útočníci úmyslně nechali reklamy běžet v plném rozsahu, čímž maximalizovali viditelnost a počet stažení, než uvolnili všechny funkce TamperedChef.
