Pesquisadores em cybersecurity descobriram uma campanha de cybercrime que utiliza malvertising para direcionar vítimas a sites fraudulentos e distribuir um novo information stealer chamado TamperedChef.
“O objetivo é atrair vítimas para baixarem e instalarem um editor de PDF trojanizado, que inclui um malware de roubo de informações denominado TamperedChef”, afirmaram os pesquisadores da Truesec, Mattias Wåhlén, Nicklas Keijser e Oscar Lejerbäck Wolf, em um relatório publicado na quarta-feira.
“O malware foi desenvolvido para coletar dados sensíveis, incluindo credenciais e web cookies.”
No centro da campanha está o uso de vários sites falsos para promover um instalador de um editor de PDF gratuito chamado AppSuite PDF Editor que, uma vez instalado e iniciado, exibe para o usuário um prompt para aceitar os termos de serviço e a política de privacidade do software.
No entanto, em segundo plano, o programa de instalação faz requisições ocultas a um servidor externo para baixar o programa do editor de PDF, além de configurar persistência no host por meio de alterações no Windows Registry, garantindo que o executável baixado seja iniciado automaticamente após a reinicialização do sistema.
A chave do registry contém um parâmetro de argumentos --cm para passar instruções ao binário.
A empresa alemã de cybersecurity G DATA, que também analisou a atividade, declarou que os diversos websites que oferecem esses editores de PDF fazem o download do mesmo instalador, que então baixa o programa editor de PDF do servidor uma vez que o usuário aceita o acordo de licença.
“Em seguida, ele executa a aplicação principal sem argumentos, o que equivale a iniciar a rotina --install,” explicaram os pesquisadores de segurança Karsten Hahn e Louis Sorita.
Além disso, cria uma entrada de autorun que fornece o argumento de linha de comando --cm=--fullupdate para a próxima execução da aplicação maliciosa.
É estimado que a campanha tenha começado em 26 de junho de 2025, quando muitos dos sites falsificados foram registrados ou começaram a anunciar o software de edição de PDF por meio de pelo menos cinco diferentes campanhas de Google Ads.
“No início, o PDF parecia se comportar de forma relativamente inofensiva, mas o código incluía instruções para verificar periodicamente atualizações em um arquivo .js que continha os argumentos --cm,” explicaram os pesquisadores.
“A partir de 21 de agosto de 2025, as máquinas que efetuaram essas chamadas receberam instruções que ativaram as capacidades maliciosas do roubo de informações, chamado ‘TamperedChef’.”
Uma vez inicializado, o stealer coleta uma lista dos produtos de segurança instalados e tenta encerrar navegadores para acessar dados sensíveis, como credenciais e cookies.
Análises adicionais da aplicação infectada pela G DATA revelaram que ela atua como uma backdoor, suportando diversas funcionalidades:
- --install: cria tasks agendadas chamadas PDFEditorScheduledTask e PDFEditorUScheduledTask que executam a aplicação com os argumentos --cm=--partialupdate e --cm=--backupupdate, respectivamente, para disparar as rotinas --check e --ping
- --cleanup: chamado pelo desinstalador para remover arquivos da backdoor, desregistrar a máquina no servidor e deletar as duas tasks agendadas
- --ping: inicia a comunicação com um command-and-control (C2) para comandos a serem executados no sistema, incluindo downloads adicionais de malware, exfiltração de dados e alterações no Registry
- --check: contata o servidor C2 para configuração, lê chaves de navegador, altera configurações do browser e executa comandos arbitrários para consultar, exfiltrar e manipular dados associados aos browsers Chromium, OneLaunch e Wave, como credenciais, histórico de navegação, cookies e definições de mecanismos de busca personalizados
- --reboot: similar ao --check, incluindo a capacidade de finalizar processos específicos
“O intervalo entre o início da campanha [de anúncios] até a atualização maliciosa foi de 56 dias, próximo aos 60 dias típicos de uma campanha do Google Ads, o que sugere que o ator da ameaça permitiu que a campanha rodasse seu curso completo para maximizar os downloads antes de ativar as funcionalidades maliciosas,” destacou a Truesec.
As divulgações coincidem com uma análise da Expel que detalhou uma grande campanha publicitária para editores de PDF, com os anúncios direcionando os usuários a websites que ofereciam downloads de ferramentas como AppSuite, PDF OneStart e PDF Editor.
Em alguns casos, esses programas de PDF foram encontrados baixando outros aplicativos trojanizados sem o consentimento dos usuários ou transformando os hosts em proxies residenciais.
“O AppSuite PDF Editor é malicioso,” afirmou a G DATA.
É um trojan clássico com backdoor que está sendo baixado em massa atualmente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...