СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
31.08.2025
#ИБ#Инфра

Truesec: вредоносное ПО TamperedChef распространяется через поддельные PDF-редакторы и крадёт учётные данные и cookie

Truesec: вредоносное ПО TamperedChef распространяется через поддельные PDF-редакторы и крадёт учётные данные и cookie

изображение: recraft

Компания Truesec опубликовала отчёт, посвящённый новой вредоносной кампании, в которой злоумышленники используют поддельную рекламу и сайты-имитаторы для распространения похитителя информации под названием TamperedChef. Цель атаки — убедить пользователей загрузить модифицированный установщик PDF-редактора, в который внедрён вредоносный код для кражи персональных данных.

В рамках этой схемы применяется поддельный софт AppSuite PDF Editor. После запуска инсталлятора на экране появляется уведомление о необходимости согласия с условиями использования и политикой конфиденциальности. Пока пользователь взаимодействует с интерфейсом, программа отправляет команду на внешний сервер, где инициируется удаление подложного редактора и установка вредоносного компонента. Параллельно в реестре Windows создаётся ключ автозапуска с параметром --cm, который передаёт инструкции для повторного запуска трояна при каждой загрузке системы.

Немецкая компания G DATA, также проанализировавшая активность, подтвердила, что на всех задействованных веб-ресурсах размещён один и тот же установочный файл. При первом запуске он загружает копию PDF-редактора с удалённого сервера, а после принятия лицензионного соглашения запускает её без дополнительных аргументов, что соответствует сценарию --install. В дальнейшем при перезагрузке активируется режим --cm=--fullupdate, который активирует скрытые функции вредоносного модуля.

По данным исследователей, кампания стартовала 26 июня 2025 года — именно тогда появились десятки поддельных сайтов и начались агрессивные рекламные показы в поисковых системах, прежде всего через Google Ads.

Хотя поначалу инсталлятор не проявлял вредоносной активности, в его коде присутствовал механизм периодической проверки js-файла на наличие обновлений. С 21 августа эти обновления стали содержать команды, активирующие сбор конфиденциальных данных. TamperedChef анализирует список установленного защитного ПО, закрывает веб-браузеры, чтобы получить доступ к их внутренним хранилищам, и извлекает учётные записи, сессии и cookie-файлы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: