TamperedChef Stealer
Cybersikkerhedsforskere har afsløret en ondsindet kampagne, der udnytter vildledende onlineannoncer til at distribuere en ny informationstyverikampagne kaldet TamperedChef. Operationen er afhængig af malvertising for at lede brugerne til svindelsider, hvor de bliver overtalt til at downloade en trojansk PDF-editor.
Indholdsfortegnelse
Trojaniseret PDF-editor som lokkemiddel
Den falske software, der markedsføres som AppSuite PDF Editor, narrer brugerne til at installere, hvad der ser ud til at være et legitimt værktøj. Under installationen præsenteres ofrene for en serviceaftale, hvilket giver illusionen af legitimitet. Bag kulisserne opretter installationsprogrammet dog i hemmelighed forbindelse til en ekstern server for at slette editor-applikationen, samtidig med at det ændrer Windows-registreringsdatabasen for at sikre persistens.
Installationsprogrammet sikrer, at programmet starter automatisk efter en genstart, ved at integrere kommandolinjeargumenter (--cm) i registreringsdatabasen. Disse argumenter gør det muligt for malwaren at modtage instruktioner til at udføre forskellige skadelige rutiner.
Tidslinje for angrebet
Undersøgelser tyder på, at kampagnen begyndte den 26. juni 2025, hvilket faldt sammen med registreringen af flere forfalskede websteder og lanceringen af mindst fem Google-annoncekampagner, der promoverede PDF-editoren. Programmet virkede i starten ikke-truende, men det var designet til gentagne gange at tjekke for opdateringer fra en ekstern server.
Den 21. august 2025, næsten to måneder senere, begyndte inficerede maskiner at modtage instruktioner, der aktiverede TamperedChefs ondsindede nyttelast. Denne trinvise tilgang gjorde det muligt for angriberne at maksimere antallet af ofre, før de aktiverede malwaren.
TamperedChefs ondsindede evner
Når TamperedChef er aktiveret, udfører den rekognoscering ved at identificere installerede sikkerhedsværktøjer og tvinge webbrowsere ned. Dette giver den adgang til følsomme data såsom gemte loginoplysninger og cookies.
Yderligere analyse afslørede, at den malware-belastede editor også fungerer som en bagdør med flere kommandolinjeindstillinger. Disse muliggør persistens, oprydning, kommunikation med kommando-og-kontrol (C2) servere og manipulation af browserdata.
Identificerede nøglefunktioner:
--install: Opretter planlagte opgaver (PDFEditorScheduledTask, PDFEditorUScheduledTask), der kører med opdaterings- og sikkerhedskopieringsargumenter for at udløse kontrol- og ping-handlinger.
--cleanup: Udføres af afinstallationsprogrammet for at slette bagdørskomponenter, afregistrere værten og fjerne planlagte opgaver.
--ping: Opretter C2-kommunikation for at modtage instruktioner til download af mere malware, ændring af registreringsdatabasen og udvinding af data.
--check: Kontakter C2 for konfigurationsopdateringer, stjæler legitimationsoplysninger, læser browsernøgler og ændrer Chromium-, OneLaunch- og Wave-browsere.
--reboot: Ligner --check, men kan også afslutte specifikke processer.
Strategisk misbrug af annoncekampagner
Angribernes valg af timing er bemærkelsesværdigt. Forsinkelsen på 56 dage mellem kampagnestart og ondsindet aktivering svarer nøje til den typiske levetid på 60 dage for Google-annoncekampagner. Dette tyder på, at trusselaktørerne bevidst tillod annoncerne at køre deres fulde forløb, hvilket maksimerede eksponering og downloads, før de frigjorde TamperedChefs fulde funktioner.
