Викрадач TamperedChef
Дослідники з кібербезпеки виявили шкідливу кампанію, яка використовує оманливу онлайн-рекламу для розповсюдження нового інформаційного викрадача під назвою TamperedChef. Ця операція базується на шкідливій рекламі, щоб перенаправляти користувачів на шахрайські сайти, де їх переконують завантажити троян-редактор PDF.
Зміст
Троянізований PDF-редактор як приманка
Підроблене програмне забезпечення, яке рекламується як AppSuite PDF Editor, обманом змушує користувачів встановити те, що здається легітимним інструментом. Під час встановлення жертвам пропонують угоду про умови надання послуг, створюючи ілюзію легітимності. Однак за лаштунками інсталятор таємно підключається до віддаленого сервера, щоб видалити програму-редактор, одночасно змінюючи реєстр Windows для забезпечення постійного використання.
Інсталятор забезпечує автоматичний запуск програми після перезавантаження, вбудовуючи аргументи командного рядка (--cm) у реєстр. Ці аргументи дозволяють шкідливому програмному забезпеченню отримувати інструкції для виконання різних шкідливих процедур.
Хронологія нападу
Розслідування показують, що кампанія розпочалася 26 червня 2025 року, що збіглося з реєстрацією кількох сайтів з підробками та запуском щонайменше п'яти рекламних кампаній Google, що просували PDF-редактор. Спочатку програма здавалася безпечною, але вона була розроблена для багаторазової перевірки наявності оновлень з віддаленого сервера.
21 серпня 2025 року, майже через два місяці, заражені машини почали отримувати інструкції, які активували шкідливе корисне навантаження TamperedChef. Такий поетапний підхід дозволив зловмисникам максимізувати кількість жертв, перш ніж активувати шкідливе програмне забезпечення.
Шкідливі можливості TamperedChef
Після активації TamperedChef виконує розвідку, виявляючи встановлені інструменти безпеки та примусово закриваючи веббраузери. Це надає йому доступ до конфіденційних даних, таких як збережені облікові дані та файли cookie.
Подальший аналіз показав, що редактор, що містить шкідливе програмне забезпечення, також функціонує як бекдор з кількома параметрами командного рядка. Вони забезпечують збереження даних, очищення, зв'язок із серверами командного контролю (C2) та маніпулювання даними браузера.
Визначені ключові функції:
--install: Створює заплановані завдання (PDFEditorScheduledTask, PDFEditorUScheduledTask), які запускаються з аргументами оновлення та резервного копіювання для запуску операцій перевірки та ping.
--cleanup: Виконується деінсталятором для видалення компонентів бекдору, скасування реєстрації хоста та видалення запланованих завдань.
--ping: Встановлює зв'язок C2 для отримання інструкцій щодо завантаження додаткових шкідливих програм, зміни реєстру та вилучення даних.
--check: Звертається до C2 для оновлення конфігурації, викрадає облікові дані, зчитує ключі браузера та змінює браузери Chromium, OneLaunch та Wave.
--reboot: Подібно до --check, але також здатне завершувати певні процеси.
Стратегічне зловживання рекламними кампаніями
Варто зазначити, що вибір часу зловмисниками є примітним. 56-денна затримка між запуском кампанії та активацією шкідливої програми майже повністю відповідає типовому 60-денному терміну дії рекламних кампаній Google. Це свідчить про те, що зловмисники навмисно дозволили рекламі відтворитися повною мірою, максимізуючи охоплення та завантаження, перш ніж розкрити всі можливості TamperedChef.
