TamperedChef Stealer
Специалисты по кибербезопасности раскрыли вредоносную кампанию, использующую обманную онлайн-рекламу для распространения нового вредоносного ПО для кражи информации, известного как TamperedChef. Вредоносная реклама перенаправляет пользователей на мошеннические сайты, где их убеждают загрузить троянизированный PDF-редактор.
Оглавление
Троянизированный PDF-редактор как приманка
Поддельное ПО, продвигаемое как AppSuite PDF Editor, обманом заставляет пользователей установить то, что выглядит как легитимный инструмент. Во время установки жертвам предлагается соглашение об условиях обслуживания, создающее иллюзию легитимности. Однако втайне от всех установщик незаметно подключается к удалённому серверу, чтобы удалить редактор, и одновременно вносит изменения в реестр Windows для обеспечения его постоянного присутствия.
Установщик обеспечивает автоматический запуск программы после перезагрузки, встраивая в реестр аргументы командной строки (--cm). Эти аргументы позволяют вредоносной программе получать инструкции для выполнения различных вредоносных процедур.
Хронология атаки
Расследование показывает, что кампания началась 26 июня 2025 года, совпав с регистрацией нескольких поддельных сайтов и запуском как минимум пяти рекламных кампаний Google, продвигающих PDF-редактор. Поначалу программа казалась безвредной, но она была разработана для многократной проверки наличия обновлений на удалённом сервере.
21 августа 2025 года, почти два месяца спустя, заражённые машины начали получать инструкции, активирующие вредоносную программу TamperedChef. Такой поэтапный подход позволил злоумышленникам максимально увеличить число жертв, прежде чем активировать вредоносное ПО.
Вредоносные возможности TamperedChef
После активации TamperedChef проводит разведку, выявляя установленные средства безопасности и принудительно завершая работу веб-браузеров. Это предоставляет ему доступ к конфиденциальным данным, таким как сохранённые учётные данные и файлы cookie.
Дальнейший анализ показал, что вредоносный редактор также функционирует как бэкдор с несколькими параметрами командной строки. Они обеспечивают сохранение, очистку, взаимодействие с командными серверами (C2) и манипуляцию данными браузера.
Определены ключевые функции:
--install: создает запланированные задачи (PDFEditorScheduledTask, PDFEditorUScheduledTask), которые запускаются с аргументами обновления и резервного копирования для запуска операций проверки и ping.
--cleanup: Выполняется деинсталлятором для удаления компонентов бэкдора, отмены регистрации хоста и удаления запланированных задач.
--ping: устанавливает соединение C2 для получения инструкций по загрузке дополнительных вредоносных программ, изменению реестра и извлечению данных.
--check: связывается с C2 для обновления конфигурации, крадет учетные данные, считывает ключи браузера и изменяет браузеры Chromium, OneLaunch и Wave.
--reboot: Аналогично --check, но также способно завершать определенные процессы.
Стратегическое злоупотребление рекламными кампаниями
Примечателен выбор злоумышленниками времени. 56-дневная задержка между запуском кампании и активацией вредоносного кода практически соответствует типичному 60-дневному сроку действия рекламных кампаний Google. Это говорит о том, что злоумышленники намеренно позволили рекламе полностью отработать, максимизировав охват и количество загрузок, прежде чем раскрыть весь потенциал TamperedChef.
