TamperedChef Stealer
Kiberbiztonsági kutatók lelepleztek egy rosszindulatú kampányt, amely megtévesztő online hirdetéseket használ fel egy új, TampereredChef nevű információlopó terjesztésére. A művelet a rosszindulatú hirdetésekre épül, hogy a felhasználókat csalárd webhelyekre irányítsa, ahol ráveszik őket egy trójai PDF-szerkesztő letöltésére.
Tartalomjegyzék
Trójai alapú PDF-szerkesztő, mint csali
Az AppSuite PDF Editor néven népszerűsített hamis szoftver arra készteti a felhasználókat, hogy egy látszólag legitim eszközt telepítsenek. A telepítés során az áldozatok egy szolgáltatási feltételeket kapnak, ami a legitimitás illúzióját kelti. A színfalak mögött azonban a telepítő titokban egy távoli szerverhez csatlakozik, hogy eltávolítsa a szerkesztőalkalmazást, miközben egyidejűleg módosítja a Windows rendszerleíró adatbázist a fájl megmaradása érdekében.
A telepítő parancssori argumentumok (--cm) beágyazásával a beállításjegyzékbe biztosítja, hogy a program automatikusan elinduljon az újraindítás után. Ezek az argumentumok lehetővé teszik a kártevő számára, hogy utasításokat fogadjon a különböző rosszindulatú rutinok végrehajtásához.
A támadás idővonala
A nyomozások szerint a kampány 2025. június 26-án kezdődött, egybeesve több hamisított weboldal regisztrációjával és legalább öt, a PDF-szerkesztőt népszerűsítő Google-hirdetési kampány elindításával. A program kezdetben nem tűnt fenyegetőnek, de úgy tervezték, hogy ismételten frissítéseket keressen egy távoli szerverről.
2025. augusztus 21-én, közel két hónappal később, a fertőzött gépek elkezdték megkapni azokat az utasításokat, amelyek aktiválták a TamperedChef rosszindulatú hasznos tartalmát. Ez a szakaszos megközelítés lehetővé tette a támadók számára, hogy maximalizálják az áldozatok számát, mielőtt engedélyeznék a rosszindulatú programot.
A TamperedChef rosszindulatú képességei
Aktiválás után a TampererdChef felderítést végez a telepített biztonsági eszközök azonosításával és a webböngészők kényszerített leállításával. Ez hozzáférést biztosít érzékeny adatokhoz, például tárolt hitelesítő adatokhoz és sütikhez.
További elemzések kimutatták, hogy a kártevőkkel teli szerkesztő több parancssori opcióval ellátott hátsó ajtóként is működik. Ezek lehetővé teszik az adatok megőrzését, a tisztítást, a parancs-és-vezérlési (C2) szerverekkel való kommunikációt és a böngészőadatok manipulálását.
Azonosított fő funkciók:
--install: Létrehozza az ütemezett feladatokat (PDFEditorScheduledTask, PDFEditorUScheduledTask), amelyek frissítési és biztonsági mentési argumentumokkal futnak az ellenőrzési és ping műveletek elindításához.
--cleanup: Az eltávolítóprogram hajtja végre a hátsó ajtó összetevőinek törléséhez, a gazdagép regisztrációjának megszüntetéséhez és az ütemezett feladatok eltávolításához.
--ping: C2 kommunikációt hoz létre, hogy utasításokat kapjon további kártevők letöltésére, a beállításjegyzék módosítására és az adatok kiszivárgására.
--check: Felveszi a kapcsolatot a C2-vel a konfigurációs frissítésekért, ellopja a hitelesítő adatokat, beolvassa a böngészőkulcsokat, és módosítja a Chromium, a OneLaunch és a Wave böngészőket.
--reboot: Hasonló a --check kapcsolóhoz, de képes bizonyos folyamatok leállítására is.
Reklámkampányok stratégiai visszaélése
Figyelemre méltó a támadók időzítésének megválasztása. A kampány indítása és a rosszindulatú aktiválás közötti 56 napos késés szorosan megfelel a Google hirdetési kampányok tipikus 60 napos élettartamának. Ez arra utal, hogy a támadók szándékosan hagyták, hogy a hirdetések teljes időtartamukig fussanak, maximalizálva az ismertséget és a letöltések számát, mielőtt szabadjára engedték volna a TamperedChef teljes képességeit.
