TamperedChef Stealer
Forskere innen nettsikkerhet har avdekket en ondsinnet kampanje som utnytter villedende nettannonser for å distribuere en ny informasjonstyveritjeneste kjent som TamperedChef. Operasjonen er avhengig av skadelig reklame for å lede brukere til svindelsider der de blir overtalt til å laste ned en trojansk PDF-editor.
Innholdsfortegnelse
Trojanisert PDF-editor som lokkemiddel
Den falske programvaren, markedsført som AppSuite PDF Editor, lurer brukere til å installere det som ser ut til å være et legitimt verktøy. Under installasjonen blir ofrene presentert for en tjenesteavtale, noe som gir en illusjon av legitimitet. Bak kulissene kobler imidlertid installasjonsprogrammet seg i hemmelighet til en ekstern server for å fjerne redigeringsprogrammet, samtidig som det endrer Windows-registeret for å etablere varighet.
Installasjonsprogrammet sørger for at programmet starter automatisk etter en omstart ved å legge inn kommandolinjeargumenter (--cm) i registeret. Disse argumentene gjør det mulig for skadelig programvare å motta instruksjoner for å utføre forskjellige ondsinnede rutiner.
Tidslinjen for angrepet
Undersøkelser tyder på at kampanjen startet 26. juni 2025, samtidig med registreringen av flere forfalskede nettsteder og lanseringen av minst fem Google-annonsekampanjer som promoterte PDF-editoren. I utgangspunktet virket programmet ikke-truende, men det var designet for gjentatte ganger å sjekke etter oppdateringer fra en ekstern server.
Nesten to måneder senere, 21. august 2025, begynte infiserte maskiner å motta instruksjoner som aktiverte TamperedChefs skadelige nyttelast. Denne trinnvise tilnærmingen tillot angriperne å maksimere antallet ofre før de aktiverte skadevaren.
TamperedChefs ondsinnede evner
Når TamperedChef er aktivert, utfører den rekognosering ved å identifisere installerte sikkerhetsverktøy og tvinge den til å stenge av nettlesere. Dette gir den tilgang til sensitive data som lagret påloggingsinformasjon og informasjonskapsler.
Videre analyse avslørte at redigeringsprogrammet med skadelig programvare også fungerer som en bakdør med flere kommandolinjealternativer. Disse muliggjør persistens, opprydding, kommunikasjon med kommando-og-kontroll-servere (C2) og manipulering av nettleserdata.
Nøkkelfunksjoner identifisert:
--install: Oppretter planlagte oppgaver (PDFEditorScheduledTask, PDFEditorUScheduledTask) som kjører med oppdaterings- og sikkerhetskopieringsargumenter for å utløse sjekk- og ping-operasjoner.
--cleanup: Utføres av avinstalleringsprogrammet for å slette bakdørskomponenter, avregistrere verten og fjerne planlagte oppgaver.
--ping: Oppretter C2-kommunikasjon for å motta instruksjoner for nedlasting av mer skadelig programvare, endring av registeret og utvinning av data.
--sjekk: Kontakter C2 for konfigurasjonsoppdateringer, stjeler påloggingsinformasjon, leser nettlesernøkler og endrer Chromium-, OneLaunch- og Wave-nettlesere.
--reboot: Ligner på --check, men kan også avslutte spesifikke prosesser.
Strategisk misbruk av annonsekampanjer
Angripernes valg av tidspunkt er bemerkelsesverdig. Forsinkelsen på 56 dager mellom kampanjelansering og ondsinnet aktivering samsvarer godt med den typiske levetiden på 60 dager for Google-annonsekampanjer. Dette tyder på at trusselaktørene bevisst lot annonsene kjøre hele tiden, og maksimerte eksponering og nedlastinger før de utløste TamperedChefs fulle funksjoner.
