TamperedChef Stealer

Natuklasan ng mga mananaliksik sa cybersecurity ang isang nakakahamak na kampanya na gumagamit ng mapanlinlang na mga online na ad upang ipamahagi ang isang bagong magnanakaw ng impormasyon na kilala bilang TamperedChef. Ang operasyon ay umaasa sa malvertising upang i-funnel ang mga user sa mga mapanlinlang na site kung saan sila ay nahikayat na mag-download ng isang trojanized na PDF editor.

Trojanized PDF Editor bilang ang Lure

Ang pekeng software, na na-promote bilang AppSuite PDF Editor, ay nanlilinlang sa mga user sa pag-install ng tila isang lehitimong tool. Sa panahon ng pag-install, ang mga biktima ay iniharap sa isang tuntunin ng kasunduan sa serbisyo, na nagbibigay ng ilusyon ng pagiging lehitimo. Sa likod ng mga eksena, gayunpaman, ang installer ay palihim na kumokonekta sa isang malayuang server upang i-drop ang application ng editor habang sabay na binabago ang Windows Registry upang maitaguyod ang pagtitiyaga.

Tinitiyak ng installer na awtomatikong ilulunsad ang programa pagkatapos ng reboot sa pamamagitan ng pag-embed ng mga argumento ng command-line (--cm) sa Registry. Ang mga argumentong ito ay nagbibigay-daan sa malware na makatanggap ng mga tagubilin para sa pagsasagawa ng iba't ibang nakakahamak na gawain.

Timeline ng Pag-atake

Iminumungkahi ng mga pagsisiyasat na nagsimula ang campaign noong Hunyo 26, 2025, kasabay ng pagpaparehistro ng ilang pekeng site at paglulunsad ng hindi bababa sa limang Google ad campaign na nagpo-promote ng PDF editor. Sa una, ang programa ay lumitaw na hindi nagbabanta, ngunit ito ay idinisenyo upang paulit-ulit na suriin ang mga update mula sa isang malayong server.

Noong Agosto 21, 2025, makalipas ang halos dalawang buwan, nagsimulang makatanggap ang mga infected na makina ng mga tagubilin na nag-activate sa malisyosong payload ng TamperedChef. Ang nakaplanong diskarte na ito ay nagpapahintulot sa mga umaatake na i-maximize ang bilang ng mga biktima bago i-enable ang malware.

Mga Nakakahamak na Kakayahan ng TamperedChef

Kapag na-activate na, ang TamperedChef ay nagsasagawa ng reconnaissance sa pamamagitan ng pagtukoy ng mga naka-install na tool sa seguridad at sapilitang pagsasara ng mga web browser. Nagbibigay ito ng access sa sensitibong data tulad ng mga naka-imbak na kredensyal at cookies.

Ang karagdagang pagsusuri ay nagsiwalat na ang malware-laced editor ay gumagana rin bilang isang backdoor na may maraming mga pagpipilian sa command-line. Ang mga ito ay nagbibigay-daan sa pagtitiyaga, paglilinis, komunikasyon sa mga server ng command-and-control (C2), at pagmamanipula ng data ng browser.

Natukoy na Mga Pangunahing Pag-andar:

--install: Lumilikha ng mga naka-iskedyul na gawain (PDFEditorScheduledTask, PDFEditorUScheduledTask) na tumatakbo na may mga update at backup na argumento upang ma-trigger ang mga pagpapatakbo ng check at ping.

--cleanup: Isinasagawa ng uninstaller upang burahin ang mga bahagi ng backdoor, alisin sa pagkakarehistro ang host, at alisin ang mga nakaiskedyul na gawain.

--ping: Nagtatatag ng C2 na komunikasyon upang makatanggap ng mga tagubilin para sa pag-download ng higit pang malware, pagbabago sa Registry, at pag-exfiltrate ng data.

--check: Nakikipag-ugnayan sa C2 para sa mga update sa configuration, nagnanakaw ng mga kredensyal, nagbabasa ng mga key ng browser, at binabago ang mga browser ng Chromium, OneLaunch, at Wave.

--reboot: Katulad ng --check ngunit may kakayahang wakasan ang mga partikular na proseso.

Madiskarteng Pang-aabuso sa Mga Ad Campaign

Kapansin-pansin ang pagpili ng timing ng mga umaatake. Ang 56-araw na pagkaantala sa pagitan ng paglulunsad ng kampanya at nakakahamak na pag-activate ay malapit na tumutugma sa karaniwang 60-araw na habang-buhay ng mga Google ad campaign. Iminumungkahi nito na sadyang pinahintulutan ng mga banta ng aktor ang mga ad na tumakbo sa kanilang buong kurso, na pinapalaki ang pagkakalantad at mga pag-download bago ilabas ang buong kakayahan ng TamperedChef.