Киберпрестъпници използват мащабна и добре координирана кампания, чрез която промотират фалшиво приложение за редактиране на PDF файлове в Google Ads. Инструментът, представян като AppSuite PDF Editor, всъщност служи за разпространение на инфостийлър зловреден софтуер, наречен TamperedChef.

Как действа атаката

Изследователи от Truesec установяват, че кампанията е започнала още през юни 2024 г., а зловредното приложение е било верифицирано във VirusTotal още през май. В първите месеци то функционирало нормално, без да буди подозрения. На 21 август 2024 г. обаче е получен „пълен ъпдейт“ (-fullupdate), който активира скритите му злонамерени възможности.

След активиране, TamperedChef:

• проверява наличието на защитни агенти на системата;

• извлича чувствителни данни от браузърите чрез Windows DPAPI, включително отчетни данни и „cookies“;

• създава условия за последващи атаки, като изтегля други подозрителни програми.

Масово разпространение чрез Google Ads

Разследването сочи, че зад операцията стоят професионални нападатели, които използват рекламни кампании в Google за достигане до жертвите. Truesec идентифицира поне пет различни рекламни ID-та, насочващи потребители към повече от 50 домейна, предлагащи подвеждащи версии на AppSuite PDF Editor.

Интересен факт е, че зловредният код е активиран само няколко дни преди изтичане на стандартния 60-дневен срок на Google Ads кампаниите – стратегия, която цели максимален брой изтегляния преди разкриване.

Използване на фалшиви сертификати

Различни версии на приложението са били подписвани с фалшиви сертификати, издадени на компании като ECHO Infini SDN BHD, GLINT By J SDN. BHD и SUMMIT NEXUS Holdings LLC. Макар сертификатите вече да са анулирани, рискът за инсталиралите програмата остава.

Допълнителни зловредни функции

Освен кражбата на данни, част от инструментите в кампанията се опитват да включат устройствата в мрежа от жилищни проксита, представяйки го като „безплатна услуга“ в замяна на достъп до PDF редактора. Това подсказва, че атакуващите търсят максимизиране на печалбите – едновременно чрез продажба на достъп до заразени системи и чрез кражба на лични данни.

Експерти предупреждават, че групата стояща зад TamperedChef има и други приложения в арсенала си – някои все още „неактивирани“, но потенциално способни да разпространяват зловреден код.

Какво означава това за потребителите

• Използването на официални източници за софтуер е задължително – особено за популярни инструменти като PDF редактори.

• Дори легитимно изглеждащи реклами могат да крият зловредни програми.

• Системните администратори следва да проверят наличните индикатори за компрометиране (IoCs), публикувани от Truesec и Expel, за да минимизират риска от инфекция.tampered chef