TamperedChef Stealer

محققان امنیت سایبری یک کمپین مخرب را کشف کرده‌اند که از تبلیغات آنلاین فریبنده برای توزیع یک ابزار سرقت اطلاعات جدید به نام TamperedChef استفاده می‌کند. این عملیات با تکیه بر تبلیغات مخرب، کاربران را به سایت‌های جعلی هدایت می‌کند و در آنجا آنها را متقاعد می‌کند که یک ویرایشگر PDF آلوده به تروجان را دانلود کنند.

ویرایشگر PDF آلوده به تروجان به عنوان طعمه

این نرم‌افزار جعلی که با نام AppSuite PDF Editor تبلیغ می‌شود، کاربران را فریب می‌دهد تا ابزاری را که به نظر یک ابزار قانونی می‌رسد، نصب کنند. در طول نصب، به قربانیان یک توافقنامه شرایط خدمات ارائه می‌شود که توهم قانونی بودن را القا می‌کند. با این حال، در پشت صحنه، نصب‌کننده مخفیانه به یک سرور از راه دور متصل می‌شود تا برنامه ویرایشگر را حذف کند و همزمان رجیستری ویندوز را برای ایجاد پایداری تغییر می‌دهد.

نصب‌کننده با جاسازی آرگومان‌های خط فرمان (--cm) در رجیستری، تضمین می‌کند که برنامه پس از راه‌اندازی مجدد به‌طور خودکار اجرا شود. این آرگومان‌ها بدافزار را قادر می‌سازند تا دستورالعمل‌هایی را برای اجرای روال‌های مخرب مختلف دریافت کند.

جدول زمانی حمله

تحقیقات نشان می‌دهد که این کمپین در ۲۶ ژوئن ۲۰۲۵، همزمان با ثبت چندین سایت جعلی و راه‌اندازی حداقل پنج کمپین تبلیغاتی گوگل برای تبلیغ ویرایشگر PDF، آغاز شده است. در ابتدا، این برنامه بی‌خطر به نظر می‌رسید، اما طوری طراحی شده بود که مرتباً به‌روزرسانی‌ها را از یک سرور از راه دور بررسی کند.

در ۲۱ آگوست ۲۰۲۵، تقریباً دو ماه بعد، دستگاه‌های آلوده شروع به دریافت دستورالعمل‌هایی کردند که بار مخرب TamperedChef را فعال می‌کرد. این رویکرد مرحله‌ای به مهاجمان اجازه داد تا قبل از فعال کردن بدافزار، تعداد قربانیان را به حداکثر برسانند.

قابلیت‌های مخرب TamperedChef

پس از فعال شدن، TamperedChef با شناسایی ابزارهای امنیتی نصب شده و خاموش کردن اجباری مرورگرهای وب، عملیات شناسایی را انجام می‌دهد. این کار به آن امکان دسترسی به داده‌های حساس مانند اعتبارنامه‌های ذخیره شده و کوکی‌ها را می‌دهد.

تجزیه و تحلیل بیشتر نشان داد که ویرایشگر آلوده به بدافزار همچنین به عنوان یک در پشتی با گزینه‌های خط فرمان متعدد عمل می‌کند. این گزینه‌ها امکان ماندگاری، پاکسازی، ارتباط با سرورهای فرمان و کنترل (C2) و دستکاری داده‌های مرورگر را فراهم می‌کنند.

کارکردهای کلیدی شناسایی شده:

--install: وظایف زمان‌بندی‌شده (PDFEditorScheduledTask، PDFEditorUScheduledTask) را ایجاد می‌کند که با آرگومان‌های به‌روزرسانی و پشتیبان‌گیری برای راه‌اندازی عملیات بررسی و پینگ اجرا می‌شوند.

--cleanup: توسط uninstaller اجرا می‌شود تا اجزای backdoor را پاک کند، میزبان را از حالت ثبت خارج کند و وظایف زمان‌بندی‌شده را حذف کند.

--ping: ارتباط C2 را برقرار می‌کند تا دستورالعمل‌هایی برای دانلود بدافزارهای بیشتر، تغییر رجیستری و استخراج داده‌ها دریافت کند.

--check: برای به‌روزرسانی‌های پیکربندی با C2 تماس می‌گیرد، اعتبارنامه‌ها را می‌دزدد، کلیدهای مرورگر را می‌خواند و مرورگرهای Chromium، OneLaunch و Wave را تغییر می‌دهد.

--reboot: مشابه --check است اما همچنین قادر به خاتمه دادن به فرآیندهای خاص است.

سوءاستفاده استراتژیک از کمپین‌های تبلیغاتی

انتخاب زمان‌بندی مهاجمان قابل توجه است. تأخیر ۵۶ روزه بین راه‌اندازی کمپین و فعال‌سازی مخرب، با طول عمر معمول ۶۰ روزه کمپین‌های تبلیغاتی گوگل مطابقت دارد. این نشان می‌دهد که عاملان تهدید عمداً به تبلیغات اجازه داده‌اند تا دوره کامل خود را طی کنند و قبل از آزاد کردن تمام قابلیت‌های TamperedChef، میزان نمایش و دانلود را به حداکثر برسانند.