Los investigadores de ciberseguridad han descubierto una campaña de delitos cibernéticos que utiliza trucos para dirigir a las víctimas a sitios fraudulentos para proporcionar una nueva información que Steeler llamó TamperedChef.
«El objetivo es invitar a las víctimas a descargar e instalar el editor de PDF troyanizado, incluido el malware alternado de información llamado TamperedChef». «El malware está diseñado para cosechar datos confidenciales, como credenciales y cookies web».
En el corazón de la campaña está utilizando varios sitios falsos para promocionar un instalador de editor PDF gratuito llamado AppSuite PDF Editor.
Sin embargo, en segundo plano, el programa de configuración realiza una solicitud secreta a un servidor externo, deja caer el programa del editor PDF y al mismo tiempo realiza cambios en el registro de Windows para configurar la persistencia del host al verificar que el archivo ejecutable descargado comenzará automáticamente después de un reinicio. La clave de registro contiene los parámetros de argumento -cm para pasar instrucciones al binario.
Además, la compañía de seguridad cibernética alemana G Data, que analizó la actividad, dijo que varios sitios web que proporcionan a estos editores de PDF descargan el mismo instalador de configuración y descargan el programa PDF Editor desde el servidor una vez que el usuario acepta el Acuerdo de licencia.
«Luego, ejecutaremos las aplicaciones principales sin discusión. Esto es equivalente a comenzar la rutina de entrada», dijeron los investigadores de seguridad Karsten Hahn y Louis Solita. «También crearemos una entrada automática que proporcione argumentos de línea de comandos: cm = -fullupdate ejecutando la siguiente aplicación maliciosa».
La campaña se califica como lanzada el 26 de junio de 2025, cuando muchos de los sitios falsificados comenzaron a registrarse o promover su software de edición PDF a través de al menos cinco campañas diferentes de Google Ads.
«Al principio, el PDF parece estar funcionando casi inofensivamente, pero el código incluye pasos para verificar periódicamente las posibles actualizaciones de los archivos .js que contienen el argumento -cm», explicaron los investigadores. «A partir del 21 de agosto de 2025, la máquina que recordó recibió instrucciones para habilitar una característica maliciosa llamada» TamperedChef «que es el robo de información».
Una vez inicializado, el Steeler recopilará una lista de productos de seguridad instalados e intentará cerrar el navegador web para acceder a datos confidenciales, como credenciales y cookies.
Un análisis posterior de aplicaciones cubiertas de malware con datos G reveló que actúa como una puerta trasera y admite muchas características –
-Instale, cree una tarea programada llamada PDFEDITORSCHEDULEDTASK, y cree una Task PDFEditorUsCheduled que ejecute la aplicación usando los argumentos -cm = -PartialUpdate y -cm = -CackUpupdate. Elimine dos tareas programadas: ping, comunicación con comando y control (C2) de acciones que se realizarán en el sistema. Esto permite descargas de malware, eliminación de datos y cambios de registro, entre otras cosas: comprobaciones, contactar a la configuración del servidor C2, leer claves del navegador, establecer navegadores y ejecutar cualquier comando y ejecutar cualquier comando. Consulte con navegadores de Chrome, Onelaunch y Wave, credenciales, historial de navegadores, cookies o configuración Motores de búsqueda personalizados (reiniciado, igual) y la capacidad de matar ciertos procesos
«Las actualizaciones maliciosas desde el comienzo de las campañas (publicidad) hasta la duración de 56 días, que está cerca de la duración de los 60 días de una campaña típica de Google ADS, lo que sugiere que los actores de amenaza ejecutarán cursos en la campaña publicitaria, maximizarán las descargas y activan las características maliciosas», dijo Thruesec.
Esta divulgación coincide con un análisis de expulsar que detalla los anuncios a los anuncios de anuncios que publican anuncios de usuarios que proporcionan descargas de herramientas como AppSuite, PDF OneStart y PDF Editor. En algunos casos, se sabe que estos programas PDF descargan otras aplicaciones troyanizadas o convierten hosts en proxy residencial sin el consentimiento del usuario.
«El editor PDF de AppSuite es malicioso», dice G Data. «Este es un caballo clásico de troyano con una puerta trasera que actualmente se descarga a gran escala».
Source link
