TamperedChef Stealer

חוקרי אבטחת סייבר חשפו קמפיין זדוני המנצל פרסומות מקוונות מטעות כדי להפיץ תוכנה חדשה לגניבת מידע המכונה TamperedChef. הפעולה מסתמכת על פרסום זדוני כדי להוביל משתמשים לאתרים הונאה שם הם משוכנעים להוריד עורך PDF עם תוכנת טרויאנית.

עורך PDF מופעל על ידי טרויאן כפיתיון

התוכנה המזויפת, המקודמת בשם AppSuite PDF Editor, מרמה משתמשים להתקין מה שנראה ככלי לגיטימי. במהלך ההתקנה, מוצגים לקורבנות תנאי שירות, מה שנותן אשליה של לגיטימיות. מאחורי הקלעים, לעומת זאת, המתקין מתחבר בחשאי לשרת מרוחק כדי להסיר את יישום העורך תוך כדי שינוי בו זמנית ברישום Windows כדי להבטיח שמירה על תוקף.

המתקין מבטיח שהתוכנית תופעל אוטומטית לאחר אתחול מחדש על ידי הטמעת ארגומנטים משורת הפקודה (--cm) ברישום. ארגומנטים אלה מאפשרים לתוכנה הזדונית לקבל הוראות לביצוע שגרות זדוניות שונות.

ציר זמן של ההתקפה

חקירות מצביעות על כך שהקמפיין החל ב-26 ביוני 2025, במקביל לרישום של מספר אתרים מזויפים ולהשקת לפחות חמישה קמפיינים פרסומיים של גוגל שקידמו את עורך ה-PDF. בתחילה, התוכנית נראתה לא מאיימת, אך היא תוכננה לבדוק שוב ושוב עדכונים משרת מרוחק.

ב-21 באוגוסט 2025, כמעט חודשיים לאחר מכן, מכונות נגועות החלו לקבל הוראות שהפעילו את המטען הזדוני של TamperedChef. גישה מדורגת זו אפשרה לתוקפים למקסם את מספר הקורבנות לפני שהפעילו את הנוזקה.

היכולות הזדוניות של TamperedChef

לאחר הפעלתו, TamperedChef מבצעת סיור על ידי זיהוי כלי אבטחה מותקנים וכיבוי כפוי של דפדפני אינטרנט. פעולה זו מעניקה לה גישה למידע רגיש כגון אישורים מאוחסנים ועוגיות.

ניתוח נוסף גילה שעורך התוכנות הזדוניות מתפקד גם כדלת אחורית עם מספר אפשרויות שורת פקודה. אלה מאפשרות שמירה על תקינות, ניקוי, תקשורת עם שרתי פקודה ובקרה (C2) ומניפולציה של נתוני דפדפן.

פונקציות מפתח שזוהו:

--install: יוצר משימות מתוזמנות (PDFEditorScheduledTask, PDFEditorUScheduledTask) הפועלות עם ארגומנטים של עדכון וגיבוי כדי להפעיל פעולות בדיקה ופינג.

--cleanup: מבוצע על ידי תוכנת הסרת ההתקנה כדי למחוק רכיבי דלת אחורית, לבטל את רישום המארח ולהסיר משימות מתוזמנות.

--ping: יוצר תקשורת C2 כדי לקבל הוראות להורדת תוכנות זדוניות נוספות, שינוי הרישום וחילוץ נתונים.

--check: יוצר קשר עם ה-C2 לצורך עדכוני תצורה, גונב אישורים, קורא מפתחות דפדפן ומשנה את דפדפני Chromium, OneLaunch ו-Wave.

--reboot: דומה ל--check אך גם מסוגל לסיים תהליכים ספציפיים.

ניצול לרעה אסטרטגי של קמפיינים פרסומיים

בחירת העיתוי של התוקפים ראויה לציון. העיכוב של 56 יום בין השקת הקמפיין להפעלה הזדונית תואם במידה רבה את אורך החיים האופייני של 60 יום של קמפיינים פרסומיים של גוגל. ממצא זה מצביע על כך שגורמי האיום אפשרו במכוון למודעות לפעול במלואן, תוך מיקסום החשיפה וההורדות לפני שחרור מלוא יכולות TamperedChef.