TamperedChef: o malware que se disfarça de editor de PDF para roubar dados sensíveis

TamperedChef: o malware que se disfarça de editor de PDF para roubar dados sensíveis

Pesquisadores de segurança identificaram uma campanha de cibercrime que utiliza anúncios maliciosos para atrair vítimas a sites falsos que oferecem um suposto editor de PDF gratuito chamado AppSuite PDF Editor. O que parece ser apenas mais uma ferramenta de edição de documentos esconde, na verdade, um malware batizado de TamperedChef, projetado para roubar credenciais e cookies de navegação.

O processo começa de forma aparentemente legítima: após o download, o programa exibe um contrato de licença para ganhar credibilidade. Enquanto isso, em segundo plano, estabelece conexões com servidores externos, instala o editor verdadeiro e cria mecanismos de persistência no sistema por meio de alterações no registro do Windows. Essa técnica garante que o software malicioso continue ativo mesmo após reinicializações, sempre pronto para enviar instruções ou receber atualizações do servidor de comando e controle.

A campanha, que teve início em junho de 2025, foi meticulosamente planejada para ganhar escala. Os criminosos investiram em pelo menos cinco campanhas de anúncios no Google, promovendo diferentes versões de editores de PDF, todos com o mesmo instalador comprometido. Durante quase dois meses, o programa aparentou ser inofensivo, até que em agosto passou a receber instruções que ativaram seu verdadeiro propósito: funcionar como um ladrão de informações capaz de encerrar navegadores e acessar dados sigilosos.

Análises conduzidas por empresas como Truesec e G DATA revelaram que o TamperedChef possui uma série de comandos que o tornam ainda mais perigoso. Ele pode criar tarefas agendadas para garantir sua execução, baixar outros malwares, alterar configurações de navegadores, exfiltrar dados e até transformar máquinas comprometidas em proxies residenciais. A sofisticação é tamanha que os criminosos aproveitaram o ciclo completo de campanhas publicitárias do Google, explorando ao máximo o alcance antes de ativar a parte nociva do ataque.

O caso reforça a importância de atenção redobrada ao baixar softwares gratuitos, especialmente quando promovidos por anúncios. O AppSuite PDF Editor, que parecia apenas mais uma ferramenta útil, acabou se revelando um cavalo de troia moderno, capaz de comprometer seriamente a privacidade e a segurança das vítimas.

Fonte: https://thehackernews.com/2025/08/tamperedchef-malware-disguised-as-fake.html