Кибербезопасность исследователей обнаружили киберпреступную кампанию, использующую малую рекламу, чтобы перенаправить жертв на мошеннические сайты, которые доставляют новый информационный шпион под названием TamperedChef.
"Цель состоит в том, чтобы заманить жертв на скачивание и установку троянизированного редактора PDF, который включает в себя информационно-крадущее вредоносное ПО, названное TamperedChef", - заявили в отчете, опубликованном в среду, исследователи из Truesec Mattias Wåhlén, Nicklas Keijser и Oscar Lejerbäck Wolf. "Вредоносное ПО предназначено для сбора конфиденциальной информации, включая учетные данные и веб-куки."
В основе кампании лежит использование нескольких фиктивных сайтов для продвижения установщика бесплатного редактора PDF под названием AppSuite PDF Editor, который, после установки и запуска, отображает пользователю приглашение согласиться с условиями обслуживания и политикой конфиденциальности программного обеспечения.
Однако, в фоновом режиме, программа установки скрытно обращается к внешнему серверу, чтобы загрузить программу редактора PDF, в то же время устанавливая постоянное присутствие на хосте путем внесения изменений в реестр Windows, чтобы гарантировать, что загружаемый исполняемый файл автоматически запускается после перезагрузки. В ключе реестра содержится параметр --cm arguments, передающий инструкции бинарному файлу.
Немецкая компания по кибербезопасности G DATA, которая также проанализировала активность, заявила, что различные сайты, предлагающие эти редакторы PDF, загружают один и тот же установщик, который затем загружает программу редактора PDF с сервера после того, как пользователь принимает лицензионное соглашение.
"Затем он запускает основное приложение без аргументов, что эквивалентно запуску процедуры --install", - заявили исследователи безопасности Karsten Hahn и Louis Sorita. "Он также создает запись автозапуска, которая подает аргумент командной строки --cm=--fullupdate для следующего запуска вредоносного приложения."
Оценка кампании, начавшейся 26 июня 2025 года, показывает, что многие из поддельных сайтов были либо зарегистрированы, либо начали рекламировать программное обеспечение для редактирования PDF через как минимум пять разных рекламных кампаний Google.
"Сначала PDF, кажется, вел себя в основном безвредно, но код включал инструкции для регулярной проверки на предмет потенциальных обновлений в файле .js, который включает --cm аргументы", - объяснили исследователи. "С 21 августа 2025 года машины, которые возвращались, получали инструкции, активирующие вредоносные возможности, информационный шпион, который называется 'TamperedChef.'"
После инициализации шпион собирает список установленных продуктов безопасности и пытается завершить работу веб-браузеров, чтобы получить доступ к конфиденциальной информации, такой как учетные данные и куки.
Дальнейший анализ приложения, содержащего вредоносное ПО, проведенный компанией G DATA, выявил, что оно действует как бэкдор, поддерживая ряд функций, таких как:
Эти раскрытия совпадают с анализом от Expel, который подробно описал большую рекламную кампанию, рекламирующую редакторы PDF, с рекламой, направляющей пользователей на веб-сайты, предлагающие загрузку инструментов, таких как AppSuite, PDF OneStart и PDF Editor. В некоторых случаях эти программы PDF были обнаружены при загрузке других троянизированных приложений без согласия пользователей или превращении хостов в residential-прокси.
"AppSuite PDF Editor является вредоносным", - заявила G DATA. "Это классический троянский конь с бэкдором, который в настоящее время массово загружается".
- Source: https://thehackernews.com/2025/08/tamperedchef-malware-disguised-as-fake.html
"Цель состоит в том, чтобы заманить жертв на скачивание и установку троянизированного редактора PDF, который включает в себя информационно-крадущее вредоносное ПО, названное TamperedChef", - заявили в отчете, опубликованном в среду, исследователи из Truesec Mattias Wåhlén, Nicklas Keijser и Oscar Lejerbäck Wolf. "Вредоносное ПО предназначено для сбора конфиденциальной информации, включая учетные данные и веб-куки."
В основе кампании лежит использование нескольких фиктивных сайтов для продвижения установщика бесплатного редактора PDF под названием AppSuite PDF Editor, который, после установки и запуска, отображает пользователю приглашение согласиться с условиями обслуживания и политикой конфиденциальности программного обеспечения.
Однако, в фоновом режиме, программа установки скрытно обращается к внешнему серверу, чтобы загрузить программу редактора PDF, в то же время устанавливая постоянное присутствие на хосте путем внесения изменений в реестр Windows, чтобы гарантировать, что загружаемый исполняемый файл автоматически запускается после перезагрузки. В ключе реестра содержится параметр --cm arguments, передающий инструкции бинарному файлу.
Немецкая компания по кибербезопасности G DATA, которая также проанализировала активность, заявила, что различные сайты, предлагающие эти редакторы PDF, загружают один и тот же установщик, который затем загружает программу редактора PDF с сервера после того, как пользователь принимает лицензионное соглашение.
"Затем он запускает основное приложение без аргументов, что эквивалентно запуску процедуры --install", - заявили исследователи безопасности Karsten Hahn и Louis Sorita. "Он также создает запись автозапуска, которая подает аргумент командной строки --cm=--fullupdate для следующего запуска вредоносного приложения."
Оценка кампании, начавшейся 26 июня 2025 года, показывает, что многие из поддельных сайтов были либо зарегистрированы, либо начали рекламировать программное обеспечение для редактирования PDF через как минимум пять разных рекламных кампаний Google.
"Сначала PDF, кажется, вел себя в основном безвредно, но код включал инструкции для регулярной проверки на предмет потенциальных обновлений в файле .js, который включает --cm аргументы", - объяснили исследователи. "С 21 августа 2025 года машины, которые возвращались, получали инструкции, активирующие вредоносные возможности, информационный шпион, который называется 'TamperedChef.'"
После инициализации шпион собирает список установленных продуктов безопасности и пытается завершить работу веб-браузеров, чтобы получить доступ к конфиденциальной информации, такой как учетные данные и куки.
Дальнейший анализ приложения, содержащего вредоносное ПО, проведенный компанией G DATA, выявил, что оно действует как бэкдор, поддерживая ряд функций, таких как:
- --install, для создания запланированных задач с именами PDFEditorScheduledTask и PDFEditorUScheduledTask, которые запускают приложение с аргументами --cm=--partialupdate и --cm=--backupupdate соответственно, чтобы запустить процессы --check и --ping
- --cleanup, вызываемая установочной программой для удаления файлов бэкдора, отмены регистрации машины на сервере и удаления двух запланированных задач
- --ping, для начала коммуникации с сервером управления (C2) для выполнения действий на системе, которые, среди прочего, позволяют загружать дополнительные вредоносные программы, извлекать данные и вносить изменения в реестр
- --check, для контакта с сервером C2 для получения конфигурации, чтения ключей браузера, изменения настроек браузера и выполнения произвольных команд для запроса, извлечения и манипуляции данными, связанными с браузерами Chromium, OneLaunch и Wave, включая учетные данные, историю браузера, куки или настройку пользовательских поисковых систем
- --reboot, аналогично --check, с возможностями для завершения работы определенных процессов
Эти раскрытия совпадают с анализом от Expel, который подробно описал большую рекламную кампанию, рекламирующую редакторы PDF, с рекламой, направляющей пользователей на веб-сайты, предлагающие загрузку инструментов, таких как AppSuite, PDF OneStart и PDF Editor. В некоторых случаях эти программы PDF были обнаружены при загрузке других троянизированных приложений без согласия пользователей или превращении хостов в residential-прокси.
"AppSuite PDF Editor является вредоносным", - заявила G DATA. "Это классический троянский конь с бэкдором, который в настоящее время массово загружается".
- Source: https://thehackernews.com/2025/08/tamperedchef-malware-disguised-as-fake.html