TamperedChef — kártékony PDF-szerkesztő
A Truesec által felfedezett kampány célja, hogy ártalmatlannak tűnő, ingyenes PDF-szerkesztőként hirdetett szoftverrel – az AppSuite PDF Editor alkalmazással – fertőzze meg a felhasználók gépét. A támadók több hamis weboldalt hoztak létre, amelyeket Google hirdetéseken keresztül népszerűsítettek, legalább öt különböző reklámkampány indította a felhasználókat ezekre az oldalakra.
A letöltött PDF Editor.exe látszólag egy normális telepítő, felhasználási feltétel elfogadását (EULA) kéri, majd egy háttérben futó folyamat segítségével letölti a tényleges káros kódot egy távoli szerverről (vault.appsuites[.]ai). A telepítés után a program frissítési kérést is küld a vezérlő szerverre, amely megerősíti a letöltéslemezt és a telepítés sikerét. Eleinte a PDF-szerkesztő valóban működhet úgy, mintha tisztességes alkalmazás lenne, de egy beépített, JavaScript alapú frissítési mechanizmus késleltetetten aktiválja a valós támadó komponenseket. Különösen gyanús, hogy az adathalász funkció csak akkor éled fel, amikor már elegendő felhasználót sikerült letölteni a programból – az első fertőzésektől számítva körülbelül 56 nap után élesedik a TamperedChef nevű adatlopó modul.
A TamperedChef bekapcsolása után a malware tartós jelenlétet biztosít magának a rendszer indításakor automatikusan futó registry bejegyzésekkel, majd jogosultságot szerezhet. A rosszindulatú kód belépési adatokat, böngésző-cookie-kat és munkamenet-információkat lop, emellett bezárhat böngészőablakokat, hogy hozzáférjen a titkosított adatokhoz (értesítve a Windows DPAPI-t is), miközben felméri, milyen biztonsági megoldások működnek a fertőzött gépen
A kampány több európai szervezetet is érintett, jelezve, hogy nem korlátozódik néhány felhasználóra, hanem szélesebb körű fertőzést előidézhet. A támadók különböző digitális tanúsítványokat is használtak – több látszólag megbízható, ám valós szereplés nélkül működő cég nevében – hogy legitimnek tűnjenek a letöltött alkalmazások