TamperedChef Stealer
Cercetătorii în domeniul securității cibernetice au descoperit o campanie rău intenționată care folosește reclame online înșelătoare pentru a distribui un nou instrument de furt de informații, cunoscut sub numele de TamperedChef. Operațiunea se bazează pe publicitate malicioasă pentru a direcționa utilizatorii către site-uri frauduloase, unde sunt convinși să descarce un editor PDF cu troieni.
Cuprins
Editor PDF troianizat ca momeală
Software-ul fals, promovat sub numele de AppSuite PDF Editor, păcălește utilizatorii să instaleze ceea ce pare a fi un instrument legitim. În timpul instalării, victimelor li se prezintă un acord de utilizare a serviciilor, dând iluzia legitimității. În culise, însă, programul de instalare se conectează în mod ascuns la un server la distanță pentru a dezactiva aplicația de editare, modificând simultan Registrul Windows pentru a stabili persistența.
Programul de instalare asigură lansarea automată a programului după o repornire, prin încorporarea argumentelor din linia de comandă (--cm) în Registru. Aceste argumente permit malware-ului să primească instrucțiuni pentru executarea diferitelor rutine rău intenționate.
Cronologia atacului
Investigațiile sugerează că această campanie a început pe 26 iunie 2025, coincidând cu înregistrarea mai multor site-uri contrafăcute și lansarea a cel puțin cinci campanii publicitare Google care promovau editorul PDF. Inițial, programul părea neamenințător, dar a fost conceput să verifice în mod repetat actualizările de pe un server la distanță.
Pe 21 august 2025, aproape două luni mai târziu, mașinile infectate au început să primească instrucțiuni care activau sarcina utilă malițioasă a TamperedChef. Această abordare etapizată le-a permis atacatorilor să maximizeze numărul de victime înainte de a activa malware-ul.
Capacitățile rău intenționate ale lui TamperedChef
Odată activat, TamperedChef efectuează recunoaștere prin identificarea instrumentelor de securitate instalate și închiderea forțată a browserelor web. Acest lucru îi acordă acces la date sensibile, cum ar fi credențialele stocate și cookie-urile.
Analize suplimentare au relevat că editorul infectat cu malware funcționează și ca un backdoor cu multiple opțiuni de linie de comandă. Acestea permit persistența, curățarea, comunicarea cu serverele de comandă și control (C2) și manipularea datelor browserului.
Funcții cheie identificate:
--install: Creează sarcini programate (PDFEditorScheduledTask, PDFEditorUScheduledTask) care rulează cu argumente de actualizare și backup pentru a declanșa operațiuni de verificare și ping.
--cleanup: Executat de programul de dezinstalare pentru a șterge componentele backdoor, a anula înregistrarea gazdei și a elimina sarcinile programate.
--ping: Stabilește comunicarea C2 pentru a primi instrucțiuni pentru descărcarea mai multor programe malware, modificarea Registrului și exfiltrarea datelor.
--check: Contactează C2 pentru actualizări de configurare, fură credențiale, citește cheile browserului și modifică browserele Chromium, OneLaunch și Wave.
--reboot: Similar cu --check, dar capabil și să termine anumite procese.
Abuzul strategic al campaniilor publicitare
Alegerea momentului ales de atacatori este remarcabilă. Întârzierea de 56 de zile dintre lansarea campaniei și activarea rău intenționată se potrivește îndeaproape cu durata de viață tipică de 60 de zile a campaniilor publicitare Google. Acest lucru sugerează că actorii amenințători au permis în mod deliberat ca reclamele să se desfășoare complet, maximizând expunerea și descărcările înainte de a dezlănțui toate capacitățile TamperedChef.
