TamperedChef Stealer
Pesquisadores de segurança cibernética descobriram uma campanha maliciosa que utiliza anúncios online enganosos para distribuir um novo ladrão de informações conhecido como TamperedChef. A operação utiliza malvertising para direcionar usuários a sites fraudulentos, onde são persuadidos a baixar um editor de PDF trojanizado.
Índice
Editor de PDF trojanizado como isca
O software falso, promovido como AppSuite PDF Editor, engana os usuários, fazendo-os instalar o que parece ser uma ferramenta legítima. Durante a instalação, as vítimas recebem um contrato de serviço, dando a ilusão de legitimidade. Nos bastidores, porém, o instalador se conecta secretamente a um servidor remoto para desinstalar o aplicativo editor, alterando simultaneamente o Registro do Windows para estabelecer a persistência.
O instalador garante que o programa seja iniciado automaticamente após uma reinicialização, incorporando argumentos de linha de comando (--cm) no Registro. Esses argumentos permitem que o malware receba instruções para executar diferentes rotinas maliciosas.
Cronologia do ataque
As investigações sugerem que a campanha começou em 26 de junho de 2025, coincidindo com o registro de vários sites falsificados e o lançamento de pelo menos cinco campanhas publicitárias do Google promovendo o editor de PDF. Inicialmente, o programa parecia inofensivo, mas foi projetado para verificar repetidamente se havia atualizações em um servidor remoto.
Em 21 de agosto de 2025, quase dois meses depois, as máquinas infectadas começaram a receber instruções que ativavam a carga maliciosa do TamperedChef. Essa abordagem em etapas permitiu que os invasores maximizassem o número de vítimas antes de ativar o malware.
Capacidades maliciosas do TamperedChef
Uma vez ativado, o TamperedChef realiza um reconhecimento identificando as ferramentas de segurança instaladas e desligando à força os navegadores. Isso lhe concede acesso a dados confidenciais, como credenciais e cookies armazenados.
Análises mais aprofundadas revelaram que o editor infectado por malware também funciona como um backdoor com múltiplas opções de linha de comando. Essas opções permitem persistência, limpeza, comunicação com servidores de comando e controle (C2) e manipulação de dados do navegador.
Principais funções identificadas:
--install: Cria tarefas agendadas (PDFEditorScheduledTask, PDFEditorUScheduledTask) que são executadas com argumentos de atualização e backup para acionar operações de verificação e ping.
--cleanup: executado pelo desinstalador para apagar componentes backdoor, cancelar o registro do host e remover tarefas agendadas.
--ping: Estabelece comunicação C2 para receber instruções para baixar mais malware, alterar o Registro e exfiltrar dados.
--check: Entra em contato com o C2 para atualizações de configuração, rouba credenciais, lê chaves do navegador e modifica os navegadores Chromium, OneLaunch e Wave.
--reboot: Semelhante a --check, mas também capaz de encerrar processos específicos.
Abuso estratégico de campanhas publicitárias
A escolha do momento certo pelos invasores é notável. O atraso de 56 dias entre o lançamento da campanha e a ativação maliciosa se aproxima bastante do tempo de vida útil típico de 60 dias das campanhas publicitárias do Google. Isso sugere que os invasores permitiram deliberadamente que os anúncios seguissem seu curso completo, maximizando a exposição e os downloads antes de liberar todos os recursos do TamperedChef.
