TamperedChef Stealer

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë keqdashëse që shfrytëzon reklamat mashtruese online për të shpërndarë një program të ri vjedhës informacioni të njohur si TamperedChef. Operacioni mbështetet në reklamat keqdashëse për të drejtuar përdoruesit në faqe mashtruese ku ata binden të shkarkojnë një program për redaktimin e PDF-ve të infektuar me virusin trojan.

Redaktuesi PDF i Trojanizuar si Karrem

Softueri i rremë, i promovuar si AppSuite PDF Editor, i mashtron përdoruesit që të instalojnë atë që duket të jetë një mjet i ligjshëm. Gjatë instalimit, viktimave u paraqitet një marrëveshje me kushtet e shërbimit, duke u dhënë iluzionin e legjitimitetit. Megjithatë, prapa skenave, instaluesi lidhet fshehurazi me një server të largët për të hequr aplikacionin e redaktuesit, ndërsa njëkohësisht ndryshon Regjistrin e Windows për të vendosur qëndrueshmëri.

Instaluesi siguron që programi të niset automatikisht pas një rinisjeje duke integruar argumente të rreshtit të komandës (--cm) në Regjistër. Këto argumente i mundësojnë programit keqdashës të marrë udhëzime për ekzekutimin e rutinave të ndryshme keqdashëse.

Kronologjia e Sulmit

Hetimet sugjerojnë se fushata filloi më 26 qershor 2025, duke përkuar me regjistrimin e disa faqeve të falsifikuara dhe nisjen e të paktën pesë fushatave reklamuese të Google që promovonin redaktuesin PDF. Fillimisht, programi nuk dukej kërcënues, por ishte projektuar për të kontrolluar vazhdimisht për përditësime nga një server i largët.

Më 21 gusht 2025, gati dy muaj më vonë, makinat e infektuara filluan të merrnin udhëzime që aktivizonin ngarkesën keqdashëse të TamperedChef. Kjo qasje e organizuar në faza u lejoi sulmuesve të maksimizonin numrin e viktimave përpara se të aktivizonin programin keqdashës.

Aftësitë keqdashëse të TamperedChef

Pasi aktivizohet, TamperedChef kryen zbulim duke identifikuar mjetet e instaluara të sigurisë dhe duke i mbyllur me forcë shfletuesit e internetit. Kjo i jep qasje në të dhëna të ndjeshme, të tilla si kredencialet e ruajtura dhe cookie-t.

Analiza të mëtejshme zbuluan se redaktori i pajisur me programe keqdashëse funksionon gjithashtu si një derë e pasme me opsione të shumta të linjës së komandës. Këto mundësojnë vazhdimësinë, pastrimin, komunikimin me serverat e komandës dhe kontrollit (C2) dhe manipulimin e të dhënave të shfletuesit.

Funksionet kryesore të identifikuara:

--install: Krijon detyra të planifikuara (PDFEditorScheduledTask, PDFEditorUScheduledTask) që ekzekutohen me argumente përditësimi dhe rezervimi për të shkaktuar operacione kontrolli dhe pingu.

--cleanup: Ekzekutohet nga çinstaluesi për të fshirë komponentët e backdoor, për të çregjistruar hostin dhe për të hequr detyrat e planifikuara.

--ping: Vendos komunikimin C2 për të marrë udhëzime për shkarkimin e më shumë programeve keqdashëse, ndryshimin e Regjistrit dhe nxjerrjen e të dhënave.

--check: Kontakton C2 për përditësime të konfigurimit, vjedh kredencialet, lexon çelësat e shfletuesit dhe modifikon shfletuesit Chromium, OneLaunch dhe Wave.

--reboot: Ngjashëm me --check, por është gjithashtu i aftë të ndërpresë procese specifike.

Abuzimi Strategjik i Fushatave Reklamuese

Zgjedhja e kohës nga sulmuesit është e dukshme. Vonesa prej 56 ditësh midis nisjes së fushatës dhe aktivizimit keqdashës përputhet ngushtë me jetëgjatësinë tipike prej 60 ditësh të fushatave reklamuese të Google. Kjo sugjeron që aktorët kërcënues lejuan qëllimisht që reklamat të vazhdonin rrjedhën e tyre të plotë, duke maksimizuar ekspozimin dhe shkarkimet përpara se të çlironin aftësitë e plota të TamperedChef.