TamperedChef Stealer
Cybersicherheitsforscher haben eine bösartige Kampagne aufgedeckt, die irreführende Online-Werbung nutzt, um einen neuen Informationsdieb namens TamperedChef zu verbreiten. Die Operation nutzt Malvertising, um Benutzer auf betrügerische Websites zu leiten, auf denen sie zum Download eines trojanisierten PDF-Editors verleitet werden.
Inhaltsverzeichnis
Trojanisierter PDF-Editor als Köder
Die gefälschte Software, die als AppSuite PDF Editor beworben wird, verleitet Benutzer dazu, ein scheinbar legitimes Tool zu installieren. Während der Installation werden den Opfern die Nutzungsbedingungen angezeigt, was den Eindruck von Legitimität erweckt. Hinter den Kulissen verbindet sich das Installationsprogramm jedoch heimlich mit einem Remote-Server, um die Editor-Anwendung zu löschen und gleichzeitig die Windows-Registrierung zu ändern, um die Persistenz zu gewährleisten.
Das Installationsprogramm stellt sicher, dass das Programm nach einem Neustart automatisch gestartet wird, indem es Befehlszeilenargumente (--cm) in die Registrierung einbettet. Diese Argumente ermöglichen es der Malware, Anweisungen zur Ausführung verschiedener Schadroutinen zu erhalten.
Zeitleiste des Angriffs
Untersuchungen deuten darauf hin, dass die Kampagne am 26. Juni 2025 begann, zeitgleich mit der Registrierung mehrerer gefälschter Websites und dem Start von mindestens fünf Google-Werbekampagnen für den PDF-Editor. Das Programm wirkte zunächst harmlos, war jedoch so konzipiert, dass es wiederholt nach Updates von einem Remote-Server suchte.
Am 21. August 2025, fast zwei Monate später, erhielten infizierte Computer Anweisungen, die die schädliche Nutzlast von TamperedChef aktivierten. Dieser stufenweise Ansatz ermöglichte es den Angreifern, die Zahl der Opfer zu maximieren, bevor sie die Malware aktivierten.
Die bösartigen Fähigkeiten von TamperedChef
Nach der Aktivierung führt TamperedChef eine Aufklärung durch, indem es installierte Sicherheitstools identifiziert und Webbrowser zwangsweise herunterfährt. Dadurch erhält es Zugriff auf vertrauliche Daten wie gespeicherte Anmeldeinformationen und Cookies.
Weitere Analysen ergaben, dass der mit Malware verseuchte Editor auch als Hintertür mit mehreren Befehlszeilenoptionen fungiert. Diese ermöglichen Persistenz, Bereinigung, Kommunikation mit Command-and-Control-Servern (C2) und die Manipulation von Browserdaten.
Identifizierte Schlüsselfunktionen:
--install: Erstellt geplante Aufgaben (PDFEditorScheduledTask, PDFEditorUScheduledTask), die mit Update- und Backup-Argumenten ausgeführt werden, um Prüf- und Ping-Vorgänge auszulösen.
--cleanup: Wird vom Deinstallationsprogramm ausgeführt, um Backdoor-Komponenten zu löschen, die Registrierung des Hosts aufzuheben und geplante Aufgaben zu entfernen.
--ping: Stellt eine C2-Kommunikation her, um Anweisungen zum Herunterladen weiterer Malware, zum Ändern der Registrierung und zum Exfiltrieren von Daten zu erhalten.
--check: Kontaktiert C2 für Konfigurationsaktualisierungen, stiehlt Anmeldeinformationen, liest Browserschlüssel und ändert die Browser Chromium, OneLaunch und Wave.
--reboot: Ähnlich wie --check, kann aber auch bestimmte Prozesse beenden.
Strategischer Missbrauch von Werbekampagnen
Bemerkenswert ist der Zeitpunkt der Angreifer. Die 56-tägige Verzögerung zwischen Kampagnenstart und bösartiger Aktivierung entspricht in etwa der typischen 60-tägigen Lebensdauer von Google-Werbekampagnen. Dies deutet darauf hin, dass die Angreifer die Anzeigen absichtlich vollständig laufen ließen, um die Sichtbarkeit und Downloads zu maximieren, bevor sie das volle Potenzial von TamperedChef entfesselten.
