Aug 29, 2025Ravie Lakshmananmalware / Windows Security Ciberseguity Investigadores han descubierto una campaña de delito cibernético que está utilizando trucos de malvertición para dirigir a las víctimas a sitios fraudulentos para ofrecer un nuevo robador de información llamado TamperedChef. «El objetivo es atraer a las víctimas a la descarga e instalación de un editor de PDF troyanizado, que incluye un malware que roba información tampedChef», dijeron los investigadores de Truesec Mattias Wåhlén, Nicklas Keijser y Oscar Lejerbäck Wolf publicado en un informe publicado el miércoles. «El malware está diseñado para cosechar datos confidenciales, incluidas credenciales y cookies web». En el corazón de la campaña se encuentra el uso de varios sitios falsos para promover un instalador para un editor PDF gratuito llamado AppSuite PDF Editor que, una vez instalado y lanzado, muestra al usuario un aviso para aceptar los términos de servicio y la política de privacidad del software. En segundo plano, sin embargo, el programa de configuración hace solicitudes encubiertas a un servidor externo para soltar el programa del editor PDF, al tiempo que configura la persistencia en el host realizando cambios en el registro de Windows para garantizar que el ejecutable descargado se inicie automáticamente después de un reinicio. La clave de registro contiene un parámetro de argumentos -cm para aprobar instrucciones al binario. La compañía de seguridad cibernética alemana G Data, que también analizó la actividad, dijo que los diversos sitios web que ofrecen estos editores de PDF descargan el mismo instalador de configuración, que luego descarga el programa PDF Editor desde el servidor una vez que el usuario acepta el acuerdo de licencia. «Luego ejecuta la aplicación principal sin argumentos, que es equivalente a comenzar la rutina de instalación», dijeron los investigadores de seguridad Karsten Hahn y Louis Sorita. «También crea una entrada automática que suministra el argumento de la línea de comando –cm =-FullUpdate para la próxima ejecución de la aplicación maliciosa». Se evalúa que la campaña comenzó el 26 de junio de 2025, cuando muchos de los sitios falsificados estaban registrados o comenzaron a anunciar el software de edición de PDF a través de al menos cinco campañas de publicidad de Google diferentes. «Al principio, el PDF parece haberse comportado principalmente inofensivo, pero el código incluía instrucciones para verificar regularmente las posibles actualizaciones en un archivo .js que incluye los argumentos -cm», explicaron los investigadores. «A partir del 21 de agosto de 2025, las máquinas que volvieron a llamar recibieron instrucciones que activaron las capacidades maliciosas, un robador de información, denominado ‘TamperedChef’.» Una vez inicializado, el robador recopila una lista de productos de seguridad instalados e intentos para terminar los navegadores web para acceder a datos sensibles, como las credenciales y las cookies. Un análisis posterior de la aplicación con malware por datos G ha revelado que actúa como una puerta trasera, lo que respalda una serie de características-INSTALME, para crear tareas programadas llamadas PDFEDITITORSCheduledTask y PDFEditorScheduledTask que ejecuta la aplicación con-cm =-parcialmente y-cm =-argumentos de copia –CleanUp, que el Uninstaler llama para eliminar los archivos de puerta trasera, no registrar la máquina del servidor y eliminar las dos tareas programadas-Ping, iniciar las comunicaciones con un comando y control (C2) para que las acciones se ejecuten en el Sistema, que, entre otros, permiten la descarga adicional de malware, el exfiltration de datos y los cambios en el registro-CHECK, COLACE C2 CON COMACTAR EL SERVITOR C2 CON CONTACTURA, CON CONTACUARIO, CONFIGURAR DE SERVICIO, BREVES DE REDIVIDADES, BROBA DE REDIVIDADES, CON LE REDIVO DE LEDE CABLE. browser settings, and execute arbitrary commands to query, exfiltrate, and manipulate data associated with Chromium, OneLaunch, and Wave browsers, including credentials, browser history, cookies, or setting custom search engines –reboot, same as –check along with capabilities to kill specific processes «The length from the start of the [ad] Campaña hasta que la actualización maliciosa también fue de 56 días, que está cerca de la duración de los 60 días de una típica campaña de publicidad de Google, lo que sugiere que el actor de amenaza deja que la campaña publicitaria ejecute su curso, maximizando las descargas, antes de activar las características maliciosas «, dijo Truesec. ONESTART, y editor de PDF.