Крадљивац TamperedChef
Истраживачи сајбер безбедности открили су злонамерну кампању која користи обмањујуће онлајн огласе за дистрибуцију новог крадљивца информација познатог као TamperedChef. Операција се ослања на злонамерно оглашавање како би усмерила кориснике ка лажним сајтовима где их наговарају да преузму тројанизовани PDF едитор.
Преглед садржаја
Тројанизовани PDF едитор као мамац
Лажни софтвер, промовисан као AppSuite PDF Editor, вара кориснике да инсталирају оно што изгледа као легитиман алат. Током инсталације, жртвама се представља уговор о условима коришћења, што даје илузију легитимности. Међутим, иза кулиса, инсталатер се тајно повезује са удаљеним сервером како би уклонио апликацију за уређивање, док истовремено мења Windows регистар како би успоставио трајност.
Инсталатер осигурава да се програм аутоматски покрене након поновног покретања система уграђивањем аргумената командне линије (--cm) у регистар. Ови аргументи омогућавају злонамерном софтверу да прима инструкције за извршавање различитих злонамерних рутина.
Хронологија напада
Истраге указују да је кампања почела 26. јуна 2025. године, што се поклопило са регистрацијом неколико фалсификованих сајтова и покретањем најмање пет Google рекламних кампања које промовишу PDF едитор. У почетку, програм није деловао претеће, али је био дизајниран да више пута проверава ажурирања са удаљеног сервера.
Дана 21. августа 2025. године, скоро два месеца касније, заражене машине су почеле да примају инструкције које су активирале злонамерни садржај TamperedChef-а. Овај фазни приступ је омогућио нападачима да максимизирају број жртава пре него што омогуће злонамерни софтвер.
Злонамерне способности TamperedChef-а
Једном активиран, TamperedChef врши извиђање тако што идентификује инсталиране безбедносне алате и присилно затвара веб прегледаче. Ово му омогућава приступ осетљивим подацима као што су сачувани акредитиви и колачићи.
Даља анализа је открила да уређивач заражен злонамерним софтвером функционише и као задња врата са више опција командне линије. Оне омогућавају перзистентност, чишћење, комуникацију са командним и контролним (C2) серверима и манипулацију подацима прегледача.
Кључне функције које су идентификоване:
--install: Креира заказане задатке (PDFEditorScheduledTask, PDFEditorUScheduledTask) који се покрећу са аргументима ажурирања и резервне копије како би покренули операције провере и пинговања.
--cleanup: Извршава га деинсталатор ради брисања компоненти задњих врата, одјаве хоста и уклањања заказаних задатака.
--ping: Успоставља C2 комуникацију ради примања инструкција за преузимање додатног злонамерног софтвера, измену регистра и крађу података.
--check: Контактира C2 за ажурирања конфигурације, краде акредитиве, чита кључеве прегледача и модификује прегледаче Chromium, OneLaunch и Wave.
--reboot: Слично као --check, али такође може да заврши одређене процесе.
Стратешка злоупотреба рекламних кампања
Избор времена које су изабрали нападачи је значајан. Кашњење од 56 дана између покретања кампање и злонамерне активације у великој мери се поклапа са типичним животним веком од 60 дана за Google рекламне кампање. Ово сугерише да су актери претње намерно дозволили огласима да се одвијају у пуном току, максимизирајући видљивост и преузимања пре него што су ослободили пуне могућности TamperedChef-а.
