TamperedChef: PDF-редактор с сюрпризом

Похоже, злоумышленники снова решили «подмешать специй» в киберменю пользователей: исследователи безопасности обнаружили новую кампанию с использованием малвертайзинга, где под видом бесплатных PDF-редакторов распространяется свежий инфостилер под названием TamperedChef. Жертвы думают, что скачивают утилиту для работы с документами, а на деле получают троян-шеф-повара, который ворует учетные данные и куки так же ловко, как повар чистит картошку.

Главный «ингредиент» атаки — поддельные сайты, рекламируемые через Google Ads, где пользователям предлагают установить «AppSuite PDF Editor». При запуске программа вежливо показывает лицензионное соглашение и политику конфиденциальности, а за кулисами незаметно тянет с сервера настоящий PDF-редактор вместе с закусочным модулем-бэкдором. Для надежности шеф сразу прописывает себя в автозагрузку через реестр Windows, снабжая процесс особым параметром --cm, чтобы на десерт выполнить нужные команды.

Согласно анализу Truesec и G DATA, первые домены кампании появились в конце июня 2025 года. До середины августа «редактор» вёл себя относительно спокойно, но после 56 дней (примерно стандартный срок рекламных кампаний Google) фальшивое меню дополнилось «острым соусом»: началась активация функций для кражи данных. Зловред стал проверять список установленных антивирусов, завершать процессы браузеров и вынимать из них самое вкусное — пароли, куки, историю и даже настройки.

Но TamperedChef не ограничивается лёгкой закуской. В его арсенале — целое дегустационное меню команд: --install создаёт планировщики задач для повторного запуска бэкдора, --check и --ping позволяют связываться с C2-сервером и получать новые рецепты атак, --cleanup убирает следы (на случай, если ресторан закрывают), а --reboot перезапускает всё это веселье с добавкой. Исследователи отмечают, что зловред активно работает с браузерами Chromium, OneLaunch и Wave, словно официант, который знает, где вы храните не только кошелёк, но и любимый десерт.

Любопытно, что кулинария злоумышленников не ограничивается одним «блюдом». В некоторых случаях PDF-редакторы скачивают ещё больше троянов или превращают заражённые машины в жилые прокси, превращая компьютер пользователя в «столик для чужих гостей».

Эксперты сходятся во мнении: AppSuite PDF Editor — не редактор, а классический троян-конструктор с бэкдором, массово распространяющийся через рекламу. Ирония ситуации в том, что жертвы всего лишь хотели красиво оформить документы, а в итоге получили приглашение на кухню, где меню составляют киберпреступники.

Берегите себя и свои нервы.