TamperedChef Stealer
Cybersecurityonderzoekers hebben een kwaadaardige campagne ontdekt die misleidende online advertenties gebruikt om een nieuwe informatiedief te verspreiden, genaamd TamperedChef. De operatie maakt gebruik van malvertising om gebruikers naar frauduleuze websites te lokken, waar ze worden overgehaald om een trojan-achtige pdf-editor te downloaden.
Inhoudsopgave
Trojanized PDF-editor als lokaas
De nepsoftware, gepromoot als AppSuite PDF Editor, misleidt gebruikers tot het installeren van een ogenschijnlijk legitieme tool. Tijdens de installatie krijgen slachtoffers een serviceovereenkomst te zien, wat de illusie van legitimiteit wekt. Achter de schermen maakt het installatieprogramma echter heimelijk verbinding met een externe server om de editor te verwijderen en tegelijkertijd het Windows-register aan te passen om persistentie te creëren.
Het installatieprogramma zorgt ervoor dat het programma automatisch start na een herstart door opdrachtregelargumenten (--cm) in het register op te nemen. Deze argumenten stellen de malware in staat instructies te ontvangen voor het uitvoeren van verschillende kwaadaardige routines.
Tijdlijn van de aanval
Onderzoek wijst uit dat de campagne op 26 juni 2025 van start ging, samenvallend met de registratie van verschillende namaakwebsites en de lancering van minstens vijf Google-advertentiecampagnes die de pdf-editor promootten. Aanvankelijk leek het programma niet bedreigend, maar het was ontworpen om herhaaldelijk te controleren op updates van een externe server.
Op 21 augustus 2025, bijna twee maanden later, begonnen geïnfecteerde machines instructies te ontvangen die de schadelijke payload van TamperedChef activeerden. Deze gefaseerde aanpak stelde aanvallers in staat het aantal slachtoffers te maximaliseren voordat ze de malware activeerden.
De kwaadaardige mogelijkheden van TamperedChef
Na activering voert TamperedChef een verkenning uit door geïnstalleerde beveiligingstools te identificeren en webbrowsers geforceerd af te sluiten. Dit geeft toegang tot gevoelige gegevens zoals opgeslagen inloggegevens en cookies.
Nadere analyse wees uit dat de met malware doorspekte editor ook functioneert als een backdoor met meerdere opdrachtregelopties. Deze maken persistentie, opschoning, communicatie met command-and-control (C2)-servers en manipulatie van browsergegevens mogelijk.
Belangrijkste geïdentificeerde functies:
--install: Maakt geplande taken (PDFEditorScheduledTask, PDFEditorUScheduledTask) die worden uitgevoerd met update- en backup-argumenten om controle- en pingbewerkingen te activeren.
--cleanup: Wordt uitgevoerd door het verwijderprogramma om achterdeurcomponenten te wissen, de host te registreren en geplande taken te verwijderen.
--ping: Hiermee wordt C2-communicatie tot stand gebracht om instructies te ontvangen voor het downloaden van meer malware, het wijzigen van het register en het exfiltreren van gegevens.
--check: Neemt contact op met C2 voor configuratie-updates, steelt inloggegevens, leest browsersleutels en wijzigt Chromium-, OneLaunch- en Wave-browsers.
--reboot: Vergelijkbaar met --check, maar kan ook specifieke processen beëindigen.
Strategisch misbruik van advertentiecampagnes
De timing van de aanvallers is opmerkelijk. De vertraging van 56 dagen tussen de lancering van de campagne en de activering van de malware komt sterk overeen met de typische levensduur van 60 dagen voor Google-advertentiecampagnes. Dit suggereert dat de aanvallers de advertenties opzettelijk volledig hebben laten lopen, om zo de zichtbaarheid en het aantal downloads te maximaliseren voordat ze de volledige mogelijkheden van TamperedChef benutten.
