TamperedChef Stealer
I ricercatori di sicurezza informatica hanno scoperto una campagna dannosa che sfrutta annunci online ingannevoli per distribuire un nuovo strumento di furto di informazioni noto come TamperedChef. L'operazione si basa sul malvertising per indirizzare gli utenti verso siti fraudolenti, dove vengono convinti a scaricare un editor PDF trojanizzato.
Sommario
Editor PDF trojanizzato come esca
Il software falso, promosso come AppSuite PDF Editor, induce gli utenti a installare quello che sembra uno strumento legittimo. Durante l'installazione, alle vittime viene presentato un accordo sui termini di servizio, dando l'illusione di legittimità. Dietro le quinte, tuttavia, il programma di installazione si connette segretamente a un server remoto per eliminare l'applicazione di editing, modificando contemporaneamente il Registro di sistema di Windows per garantirne la persistenza.
Il programma di installazione assicura che il programma si avvii automaticamente dopo un riavvio incorporando argomenti della riga di comando (--cm) nel Registro di sistema. Questi argomenti consentono al malware di ricevere istruzioni per l'esecuzione di diverse routine dannose.
Cronologia dell'attacco
Le indagini suggeriscono che la campagna sia iniziata il 26 giugno 2025, in concomitanza con la registrazione di diversi siti contraffatti e il lancio di almeno cinque campagne pubblicitarie Google che promuovevano l'editor PDF. Inizialmente, il programma sembrava non essere minaccioso, ma era progettato per verificare ripetutamente la presenza di aggiornamenti da un server remoto.
Il 21 agosto 2025, quasi due mesi dopo, i computer infetti iniziarono a ricevere istruzioni che attivavano il payload dannoso di TamperedChef. Questo approccio graduale consentiva agli aggressori di massimizzare il numero di vittime prima di abilitare il malware.
Le capacità dannose di TamperedChef
Una volta attivato, TamperedChef esegue una ricognizione identificando gli strumenti di sicurezza installati e forzando la chiusura dei browser web. Questo gli consente di accedere a dati sensibili come credenziali e cookie memorizzati.
Ulteriori analisi hanno rivelato che l'editor contenente malware funziona anche come backdoor con molteplici opzioni da riga di comando. Queste consentono la persistenza, la pulizia, la comunicazione con i server di comando e controllo (C2) e la manipolazione dei dati del browser.
Funzioni chiave identificate:
--install: crea attività pianificate (PDFEditorScheduledTask, PDFEditorUScheduledTask) che vengono eseguite con argomenti di aggiornamento e backup per attivare operazioni di controllo e ping.
--cleanup: eseguito dal programma di disinstallazione per cancellare i componenti backdoor, annullare la registrazione dell'host e rimuovere le attività pianificate.
--ping: stabilisce la comunicazione C2 per ricevere istruzioni per scaricare altro malware, modificare il Registro di sistema ed esfiltrare dati.
--check: contatta il C2 per gli aggiornamenti della configurazione, ruba le credenziali, legge le chiavi del browser e modifica i browser Chromium, OneLaunch e Wave.
--reboot: simile a --check ma in grado di terminare anche processi specifici.
Abuso strategico delle campagne pubblicitarie
La scelta temporale degli aggressori è degna di nota. Il ritardo di 56 giorni tra il lancio della campagna e l'attivazione dannosa corrisponde strettamente alla tipica durata di 60 giorni delle campagne pubblicitarie di Google. Ciò suggerisce che gli autori della minaccia abbiano deliberatamente consentito agli annunci di proseguire per tutto il loro corso, massimizzando l'esposizione e i download prima di sfruttare appieno le potenzialità di TamperedChef.
