TamperedChef窃取者

通过Mezo在恶意软件, 窃贼

翻译为：

网络安全研究人员发现了一项恶意活动，该活动利用欺骗性在线广告来传播一种名为“TamperedChef”的新型信息窃取程序。该活动依靠恶意广告将用户引导至欺诈网站，诱骗用户下载一个被木马感染的 PDF 编辑器。

这款名为 AppSuite PDF 编辑器的假冒软件会诱骗用户安装看似合法的工具。安装过程中，受害者会看到一份服务条款协议，给人一种合法性的假象。然而，安装程序会在后台秘密连接到远程服务器，释放编辑器应用程序，同时修改 Windows 注册表以建立持久性。

安装程序通过在注册表中嵌入命令行参数（--cm）来确保程序在重启后自动启动。这些参数使恶意软件能够接收执行不同恶意例程的指令。

调查显示，该活动始于2025年6月26日，与此同时，多个假冒网站注册，并至少启动了五个谷歌广告活动来推广这款PDF编辑器。最初，该程序看似无害，但它的设计目的是反复检查远程服务器的更新。

2025年8月21日，也就是将近两个月后，受感染的机器开始收到激活TamperedChef恶意负载的指令。这种分阶段的攻击方式使攻击者能够在启用恶意软件之前最大限度地增加受害者数量。

一旦激活，TamperedChef 就会通过识别已安装的安全工具并强制关闭 Web 浏览器来执行侦察。这使其能够访问敏感数据，例如存储的凭据和 Cookie。

进一步分析显示，该恶意软件编辑器还具有后门功能，并带有多个命令行选项。这些选项可实现持久化、清理、与命令和控制 (C2) 服务器通信以及操纵浏览器数据。

确定的关键功能：

--install：创建使用更新和备份参数运行的计划任务（PDFEditorScheduledTask、PDFEditorUScheduledTask）来触发检查和 ping 操作。

--cleanup：由卸载程序执行，以擦除后门组件、取消注册主机并删除计划任务。

--ping：建立 C2 通信以接收下载更多恶意软件、更改注册表和泄露数据的指令。

--check：联系 C2 获取配置更新、窃取凭据、读取浏览器密钥以及修改 Chromium、OneLaunch 和 Wave 浏览器。

--reboot：与--check类似，但也能够终止特定进程。

攻击者的时机选择值得关注。从广告活动发布到恶意激活，中间间隔了56天，这与谷歌广告活动通常60天的生命周期非常接近。这表明，威胁行为者故意让广告完全投放，在TamperedChef全面爆发之前，最大限度地提升曝光量和下载量。

搜索