TamperedChef Stealer
Cybersäkerhetsforskare har avslöjat en skadlig kampanj som utnyttjar vilseledande onlineannonser för att distribuera en ny informationsstöld som kallas TamperedChef. Operationen bygger på skadlig annonsering för att leda användare till bedrägliga webbplatser där de övertalas att ladda ner en trojansk PDF-redigerare.
Innehållsförteckning
Trojaniserad PDF-redigerare som lockbete
Den falska programvaran, som marknadsförs som AppSuite PDF Editor, lurar användare att installera vad som verkar vara ett legitimt verktyg. Under installationen presenteras offren med ett användaravtal, vilket ger en illusion av legitimitet. Bakom kulisserna ansluter dock installationsprogrammet i hemlighet till en fjärrserver för att avsluta redigeringsprogrammet samtidigt som det ändrar Windows-registret för att etablera beständighet.
Installationsprogrammet säkerställer att programmet startas automatiskt efter en omstart genom att bädda in kommandoradsargument (--cm) i registret. Dessa argument gör det möjligt för skadlig programvara att ta emot instruktioner för att köra olika skadliga rutiner.
Tidslinje för attacken
Utredningar tyder på att kampanjen startade den 26 juni 2025, samtidigt som flera förfalskade webbplatser registrerades och minst fem Google-annonskampanjer lanserades som marknadsförde PDF-redigeraren. Inledningsvis verkade programmet inte vara hotfullt, men det var utformat för att upprepade gånger söka efter uppdateringar från en fjärrserver.
Den 21 augusti 2025, nästan två månader senare, började infekterade maskiner ta emot instruktioner som aktiverade TamperedChefs skadliga nyttolast. Denna stegvisa metod gjorde det möjligt för angripare att maximera antalet offer innan de aktiverade skadlig programvara.
TamperedChefs skadliga förmågor
När TamperedChef aktiverats utför den rekognoscering genom att identifiera installerade säkerhetsverktyg och tvångsmässigt stänga av webbläsare. Detta ger den åtkomst till känsliga uppgifter som lagrade inloggningsuppgifter och cookies.
Vidare analys visade att den skadliga programvarans redigerare också fungerar som en bakdörr med flera kommandoradsalternativ. Dessa möjliggör persistens, rensning, kommunikation med kommando- och kontrollservrar (C2) och manipulation av webbläsardata.
Identifierade nyckelfunktioner:
--install: Skapar schemalagda uppgifter (PDFEditorScheduledTask, PDFEditorUScheduledTask) som körs med uppdaterings- och säkerhetskopieringsargument för att utlösa kontroll- och ping-åtgärder.
--cleanup: Utförs av avinstallationsprogrammet för att radera bakdörrskomponenter, avregistrera värden och ta bort schemalagda uppgifter.
--ping: Upprättar C2-kommunikation för att ta emot instruktioner för att ladda ner mer skadlig kod, ändra registret och exfiltrera data.
--check: Kontaktar C2 för konfigurationsuppdateringar, stjäl inloggningsuppgifter, läser webbläsarnycklar och modifierar webbläsarna Chromium, OneLaunch och Wave.
--reboot: Liknar --check men kan även avsluta specifika processer.
Strategiskt missbruk av annonskampanjer
Angriparnas val av tidpunkt är anmärkningsvärt. Fördröjningen på 56 dagar mellan kampanjstart och skadlig aktivering stämmer nära överens med den typiska livslängden på 60 dagar för Googles annonskampanjer. Detta tyder på att hotaktörerna medvetet lät annonserna köras hela tiden, vilket maximerade exponering och nedladdningar innan de släppte lös TamperedChefs fulla funktioner.
