Pesquisadores de cibersegurança identificaram uma campanha de cibercrime que utiliza publicidade maliciosa para direcionar vítimas a sites fraudulentos, distribuindo um novo malware ladrão de informações chamado TamperedChef.
O ataque se disfarça como um editor de PDF gratuito, chamado AppSuite PDF Editor, que, ao ser instalado, baixa secretamente o malware. Segundo especialistas da Truesec — Mattias Wåhlén, Nicklas Keijser e Oscar Lejerbäck Wolf —, o software malicioso tem como objetivo coletar dados sensíveis, incluindo credenciais e cookies de navegação.
Diversos sites falsos promovem o instalador do editor de PDF, que exibe termos de serviço e política de privacidade legítimos, mas, em segundo plano, faz requisições a um servidor externo para baixar o malware e garantir persistência no sistema, alterando o Registro do Windows. Essas modificações permitem que o executável seja iniciado automaticamente após reinicializações, com parâmetros que instruem o malware a executar suas funções.
A empresa alemã G DATA analisou a campanha e confirmou que todos os sites que oferecem esses editores baixam o mesmo instalador, que só ativa o malware após o usuário aceitar o contrato de licença. O instalador cria entradas de inicialização automática e executa comandos maliciosos, como –fullupdate, garantindo a ativação completa do TamperedChef.
Estima-se que a campanha começou em 26 de junho de 2025, com sites falsos promovendo o software via pelo menos cinco campanhas de publicidade no Google. Inicialmente, o PDF parecia inofensivo, mas continha código que verifica atualizações e ativa funções maliciosas após 21 de agosto, permitindo que o malware colete informações sobre produtos de segurança instalados e encerre navegadores para acessar dados sensíveis.
Entre as funcionalidades do TamperedChef estão:
-
–install: cria tarefas agendadas para execução automática do malware.
-
–cleanup: remove arquivos e desfaz alterações no sistema.
-
–ping: comunica-se com servidor de comando e controle (C2) para instruções.
-
–check e –reboot: permitem extrair dados de navegadores e alterar configurações do sistema.
Segundo a Truesec, a diferença de 56 dias entre o início da campanha publicitária e a ativação do malware sugere que os hackers maximizaram os downloads antes de ativar as funcionalidades maliciosas, aproveitando o ciclo típico de 60 dias de campanhas de anúncios do Google.
Análises da Expel mostraram que outros editores de PDF, como PDF OneStart e PDF Editor, também têm sido usados para distribuir aplicativos trojanizados, transformando computadores em proxies residenciais sem consentimento dos usuários.
A G DATA concluiu que o AppSuite PDF Editor é um cavalo de troia clássico, com backdoor ativo, representando um risco significativo para usuários que baixam editores de PDF de fontes não confiáveis.
