Los piratas informáticos están distribuyendo un editor de PDF falso cargado con credencial de tamperedchef robando malware

4 2 minutes read

Los piratas informáticos están distribuyendo un editor de PDF falso cargado con credencial de tamperedchef robando malware

Al menos cinco campañas de anuncios de Google se estaban ejecutando, promocionando software falsificado
Alguien troyado de diferentes editores de PDF para entregar infantes
Los defensores advierten sobre el malware TamperedChef InfoStealing

Tenga cuidado al descargar un programa llamado “Editor PDF AppSuite”: hay variantes envenenadas que circulan en la web.

A fines de junio, los investigadores de seguridad Truesec vieron múltiples sitios web, todos falsificando el programa, publicados. Al mismo tiempo, se configuraron al menos cinco campañas diferentes de Google Ads para promocionar los sitios web.

Por lo tanto, quien buscó ‘APPSUITE PDF Editor’ podría haber terminado en uno de los muchos sitios que estaban sirviendo una versión troyanizada de la aplicación. Aquellos que lo descargaron obtendrían el proceso de instalación habitual y los acuerdos de licencia de usuario indican en primer plano, mientras que en segundo plano, se implementaba un infoptealer y una puerta trasera llamada TamperedChef.

Editores de PDF cargados con malware

Que hace esto malware Particularmente siniestro es el retraso engañoso con el que opera. Esperará aproximadamente 56 días antes de la activación, con el mayor probabilidad de dar a los actores de amenaza el tiempo suficiente para distribuir al infoptealer a la mayor cantidad de víctimas posible, antes de ser vistos por los defensores.

“La longitud desde el comienzo del [ad] Campaña hasta que la actualización maliciosa también fue de 56 días, que está cerca de la duración de los 60 días de una típica campaña de publicidad de Google, lo que sugiere que el actor de amenaza dejó que la campaña publicitaria realice su curso, maximizando las descargas, antes de activar las características maliciosas “, dijo Truesec.

Mientras tanto, logrará persistencia a través de modificaciones del registro de Windows y creará diferentes tareas programadas. Una vez activado, TamperedChef puede recopilar credenciales del navegador, cookies de sesión y otros datos confidenciales, principalmente terminando los procesos del navegador y explotando la API de protección de datos de Windows (DPAPI).

También realiza el reconocimiento del sistema para detectar qué herramientas antivirus o protección de malware que está ejecutando la víctima, y puede funcionar como una puerta trasera para implementar malware adicional.

AppSuite tampoco es el único editor PDF que se está falsificando en esta campaña. PDF OneStart, y editor de PDF, han sido observados abusados en la misma campaña (o adyacente).