Новая киберпреступная кампания использует вредоносную рекламу в Google для продвижения мошеннических сайтов, предлагающих поддельное программное обеспечение для редактирования PDF-файлов. Основной приманкой выступает программа под названием «AppSuite PDF Editor», которая является установщиком-трояном. Этот установщик тайно загружает новое вредоносное ПО для кражи информации, известное как TamperedChef. Изначально вредоносная программа бездействует, но позже активируется для работы в качестве бэкдора, похищая конфиденциальные данные, такие как учетные данные пользователей и cookie-файлы веб-браузеров.
Кампания, начавшаяся 26 июня 2025 года, когда были зарегистрированы многие поддельные сайты, использовала как минимум пять различных рекламных кампаний Google. Пользователей, ищущих бесплатный PDF-редактор, заманивали на мошеннические сайты, где предлагались инструменты AppSuite PDF Editor, PDF OneStart и PDF Editor. После загрузки и запуска установщика пользователю демонстрировалось стандартное окно с предложением принять условия обслуживания и политику конфиденциальности, чтобы создать видимость легитимности.
Сразу после получения согласия пользователя установщик тайно связывался с внешним сервером. С этого сервера он загружал не только заявленный PDF-редактор, но и основную угрозу — вредоносное ПО TamperedChef. Специалисты из немецкой компании по кибербезопасности G DATA, Карстен Хан и Луис Сорита, охарактеризовали его как «классического троянского коня». Основная цель TamperedChef — сбор конфиденциальных данных, в частности, учетных данных и cookie-файлов веб-браузеров.
После установки TamperedChef обеспечивал свое постоянное присутствие в системе путем внесения изменений в реестр Windows, что гарантировало его автоматический запуск после каждой перезагрузки компьютера. Примечательно, что вредоносная программа не проявляла активности сразу. Она содержала инструкции для проверки файла с расширением
Активация вредоносных функций произошла 21 августа 2025 года, когда зараженные машины получили удаленные инструкции. Предполагается, что 56-дневная задержка была выбрана не случайно: она близка к стандартной 60-дневной продолжительности рекламной кампании Google. Злоумышленники, вероятно, выжидали, пока кампания не достигнет максимального охвата и количества загрузок, прежде чем активировать вредоносное ПО. Активация происходила через параметр командной строки
После активации TamperedChef начинал функционировать как полноценный бэкдор с набором команд. Он мог собирать список установленных на компьютере продуктов безопасности и принудительно завершать работу веб-браузеров для получения доступа к их данным. Вредонос поддерживал несколько ключевых команд для управления зараженной системой.
Команда
Наиболее опасными являлись команды
Расследованием этой кампании занимались несколько организаций. Исследователи из компании Truesec — Маттиас Вален, Никлас Кейсер и Оскар Леербек Вольф — обнаружили и подробно описали угрозу. Их выводы совпали с анализом компании Expel, которая ранее зафиксировала крупную рекламную кампанию, продвигавшую аналогичные мошеннические PDF-редакторы.
В некоторых связанных с этой кампанией случаях было установлено, что троянизированные приложения без согласия пользователя загружали другие вредоносные программы. Более того, некоторые из них превращали зараженные компьютеры в резидентные прокси, используя их интернет-соединение для анонимизации трафика злоумышленников. В итоговой оценке эксперты G DATA заявили: «AppSuite PDF Editor является вредоносным. Это классический троянский конь с бэкдором, который в настоящее время массово загружается».
Изображение носит иллюстративный характер
Кампания, начавшаяся 26 июня 2025 года, когда были зарегистрированы многие поддельные сайты, использовала как минимум пять различных рекламных кампаний Google. Пользователей, ищущих бесплатный PDF-редактор, заманивали на мошеннические сайты, где предлагались инструменты AppSuite PDF Editor, PDF OneStart и PDF Editor. После загрузки и запуска установщика пользователю демонстрировалось стандартное окно с предложением принять условия обслуживания и политику конфиденциальности, чтобы создать видимость легитимности.
Сразу после получения согласия пользователя установщик тайно связывался с внешним сервером. С этого сервера он загружал не только заявленный PDF-редактор, но и основную угрозу — вредоносное ПО TamperedChef. Специалисты из немецкой компании по кибербезопасности G DATA, Карстен Хан и Луис Сорита, охарактеризовали его как «классического троянского коня». Основная цель TamperedChef — сбор конфиденциальных данных, в частности, учетных данных и cookie-файлов веб-браузеров.
После установки TamperedChef обеспечивал свое постоянное присутствие в системе путем внесения изменений в реестр Windows, что гарантировало его автоматический запуск после каждой перезагрузки компьютера. Примечательно, что вредоносная программа не проявляла активности сразу. Она содержала инструкции для проверки файла с расширением
.js на наличие обновлений и команд, оставаясь в спящем режиме в течение 56 дней. Активация вредоносных функций произошла 21 августа 2025 года, когда зараженные машины получили удаленные инструкции. Предполагается, что 56-дневная задержка была выбрана не случайно: она близка к стандартной 60-дневной продолжительности рекламной кампании Google. Злоумышленники, вероятно, выжидали, пока кампания не достигнет максимального охвата и количества загрузок, прежде чем активировать вредоносное ПО. Активация происходила через параметр командной строки
--cm, а для полной инициализации в автозагрузку добавлялась запись с аргументом --cm=--fullupdate. После активации TamperedChef начинал функционировать как полноценный бэкдор с набором команд. Он мог собирать список установленных на компьютере продуктов безопасности и принудительно завершать работу веб-браузеров для получения доступа к их данным. Вредонос поддерживал несколько ключевых команд для управления зараженной системой.
Команда
--install создавала две запланированные задачи, PDFEditorScheduledTask и PDFEditorUScheduledTask, для регулярного запуска вредоноса с аргументами --cm=--partialupdate и --cm=--backupupdate. Команда --cleanup выполняла функцию деинсталлятора: удаляла файлы бэкдора, отменяла регистрацию машины на управляющем сервере и удаляла созданные задачи. Команда --ping использовалась для связи с командно-контрольным сервером (C2) для получения инструкций, что позволяло загружать дополнительные вредоносные программы, выгружать украденные данные и вносить изменения в реестр. Наиболее опасными являлись команды
--check и --reboot. Они позволяли вредоносу связываться с C2-сервером для получения конфигурации, считывать ключи шифрования браузеров и выполнять команды для кражи данных из браузеров на базе Chromium, а также из OneLaunch и Wave. Вредонос мог похищать учетные данные, историю просмотров и cookie-файлы. Кроме того, он был способен изменять настройки браузера, например, устанавливать пользовательские поисковые системы. Расследованием этой кампании занимались несколько организаций. Исследователи из компании Truesec — Маттиас Вален, Никлас Кейсер и Оскар Леербек Вольф — обнаружили и подробно описали угрозу. Их выводы совпали с анализом компании Expel, которая ранее зафиксировала крупную рекламную кампанию, продвигавшую аналогичные мошеннические PDF-редакторы.
В некоторых связанных с этой кампанией случаях было установлено, что троянизированные приложения без согласия пользователя загружали другие вредоносные программы. Более того, некоторые из них превращали зараженные компьютеры в резидентные прокси, используя их интернет-соединение для анонимизации трафика злоумышленников. В итоговой оценке эксперты G DATA заявили: «AppSuite PDF Editor является вредоносным. Это классический троянский конь с бэкдором, который в настоящее время массово загружается».
