Malware TamperedChef disfarçado de editores de PDF rouba credenciais e cookies

Pesquisadores de cibersegurança descobriram uma campanha de cibercrime que usa truques de publicidade maliciosa para direcionar as vítimas a sites fraudulentos, onde um novo malware ladrão de informações, chamado TamperedChef, é distribuído. A campanha tem como objetivo principal atrair as vítimas para o download e a instalação de um editor de PDF trojanizado, que oculta o malware.

"O malware é projetado para colher dados sensíveis, incluindo credenciais e cookies de navegação," afirmam os pesquisadores da Truesec, Mattias Wåhlén, Nicklas Keijser e Oscar Lejerbäck Wolf.

No centro dessa operação, estão diversos sites falsos que promovem um instalador para um editor de PDF gratuito, chamado AppSuite PDF Editor. Ao ser instalado, o programa exibe uma tela para que o usuário aceite os termos de serviço e a política de privacidade. Contudo, em segundo plano, o instalador faz requisições ocultas a um servidor externo para baixar não apenas o editor de PDF, mas também para garantir a persistência na máquina, fazendo alterações no Registro do Windows.

Essa modificação garante que o executável baixado seja iniciado automaticamente após uma reinicialização. A chave de registro contém um parâmetro --cm arguments que serve para passar instruções ao binário malicioso.

A empresa de cibersegurança alemã G DATA, que também analisou a atividade, revelou que os diversos sites que oferecem esses editores de PDF baixam o mesmo instalador. Este, por sua vez, só faz o download do programa editor de PDF do servidor após o usuário aceitar o acordo de licença. Em seguida, ele executa a aplicação principal sem argumentos, o que equivale a iniciar a rotina --install. Além disso, o instalador cria uma entrada de inicialização automática que fornece o argumento --cm=--fullupdate para a próxima execução da aplicação maliciosa.

Estima-se que a campanha teve início em 26 de junho de 2025, data em que muitos dos sites falsos foram registrados ou começaram a anunciar o software de edição de PDF através de pelo menos cinco campanhas publicitárias diferentes do Google.

Os pesquisadores notaram que, inicialmente, o PDF parecia inofensivo, mas o código continha instruções para verificar atualizações em um arquivo .js que incluía os argumentos --cm. A partir de 21 de agosto de 2025, as máquinas que retornavam a chamada recebiam instruções que ativavam as capacidades maliciosas do ladrão de informações, o TamperedChef.

Uma vez ativado, o malware coleta uma lista de produtos de segurança instalados e tenta encerrar os navegadores de internet para acessar dados sensíveis, como credenciais e cookies. A análise aprofundada da G DATA revelou que a aplicação atua como um backdoor, suportando diversas funcionalidades, como:

• --install: cria tarefas agendadas chamadas PDFEditorScheduledTask e PDFEditorUScheduledTask que executam a aplicação com argumentos específicos (--cm=--partialupdate e --cm=--backupupdate), para disparar as rotinas de verificação e comunicação.

• --cleanup: chamado pelo desinstalador, essa função remove os arquivos do backdoor, desregistra a máquina do servidor e apaga as duas tarefas agendadas.

• --ping: inicia a comunicação com um servidor de comando e controle (C2) para receber instruções sobre ações a serem executadas no sistema. Isso inclui o download de malwares adicionais, exfiltração de dados e alterações no Registro.

• --check: entra em contato com o servidor C2 para buscar configurações, ler chaves de navegador, alterar configurações de navegador e executar comandos arbitrários para consultar, extrair e manipular dados associados aos navegadores Chromium, OneLaunch e Wave.

• --reboot: tem as mesmas capacidades do --check, com a adição de poder encerrar processos específicos.

"O tempo entre o início da campanha publicitária e a atualização maliciosa foi de 56 dias, próximo aos 60 dias de duração de uma típica campanha de anúncios do Google. Isso sugere que os hackers deixaram a campanha publicitária seguir seu curso, maximizando os downloads, antes de ativar as funcionalidades maliciosas," explicou a Truesec.

Essa descoberta coincide com uma análise da Expel, que detalhou uma grande campanha de anúncios para editores de PDF, direcionando usuários a sites que oferecem downloads de ferramentas como AppSuite, PDF OneStart e PDF Editor. Em alguns casos, esses programas de PDF foram encontrados baixando outras aplicações trojanizadas sem o consentimento dos usuários ou transformando as máquinas em proxies residenciais.

"O AppSuite PDF Editor é malicioso," concluiu a G DATA. "É um clássico cavalo de troia com um backdoor que está sendo baixado em massa."

Via - THN