Voleur de TamperedChef

Des chercheurs en cybersécurité ont découvert une campagne malveillante qui utilise des publicités en ligne trompeuses pour diffuser un nouveau logiciel de vol d'informations appelé TamperedChef. Cette opération s'appuie sur des publicités malveillantes pour rediriger les utilisateurs vers des sites frauduleux où ils sont incités à télécharger un éditeur PDF infecté par un cheval de Troie.

Un éditeur PDF trojanisé comme leurre

Le faux logiciel, présenté comme AppSuite PDF Editor, incite les utilisateurs à installer ce qui semble être un outil légitime. Lors de l'installation, les victimes se voient présenter des conditions d'utilisation, donnant l'illusion de la légitimité. Cependant, en coulisses, l'installateur se connecte secrètement à un serveur distant pour supprimer l'application d'édition tout en modifiant le registre Windows pour établir la persistance.

Le programme d'installation garantit le lancement automatique du programme après un redémarrage en intégrant des arguments de ligne de commande (--cm) dans le Registre. Ces arguments permettent au logiciel malveillant de recevoir des instructions pour exécuter différentes routines malveillantes.

Chronologie de l’attaque

Les enquêtes suggèrent que la campagne a débuté le 26 juin 2025, coïncidant avec l'enregistrement de plusieurs sites contrefaits et le lancement d'au moins cinq campagnes publicitaires Google faisant la promotion de l'éditeur PDF. Initialement, le programme semblait inoffensif, mais il était conçu pour vérifier régulièrement les mises à jour depuis un serveur distant.

Le 21 août 2025, près de deux mois plus tard, les machines infectées ont commencé à recevoir des instructions activant la charge malveillante de TamperedChef. Cette approche progressive a permis aux attaquants de maximiser le nombre de victimes avant d'activer le malware.

Les capacités malveillantes de TamperedChef

Une fois activé, TamperedChef effectue une reconnaissance en identifiant les outils de sécurité installés et en forçant la fermeture des navigateurs web. Cela lui donne accès à des données sensibles telles que les identifiants et les cookies enregistrés.

Une analyse plus approfondie a révélé que l'éditeur infecté par un logiciel malveillant fonctionne également comme une porte dérobée avec de multiples options de ligne de commande. Celles-ci permettent la persistance, le nettoyage, la communication avec les serveurs de commande et de contrôle (C2) et la manipulation des données du navigateur.

Fonctions clés identifiées :

--install : crée des tâches planifiées (PDFEditorScheduledTask, PDFEditorUScheduledTask) qui s'exécutent avec des arguments de mise à jour et de sauvegarde pour déclencher des opérations de vérification et de ping.

--cleanup : exécuté par le programme de désinstallation pour effacer les composants de porte dérobée, désenregistrer l'hôte et supprimer les tâches planifiées.

--ping : établit une communication C2 pour recevoir des instructions pour télécharger davantage de logiciels malveillants, modifier le registre et exfiltrer des données.

--check : contacte le C2 pour les mises à jour de configuration, vole les informations d'identification, lit les clés du navigateur et modifie les navigateurs Chromium, OneLaunch et Wave.

--reboot : similaire à --check mais également capable de terminer des processus spécifiques.

Abus stratégique des campagnes publicitaires

Le choix du timing par les attaquants est remarquable. Le délai de 56 jours entre le lancement de la campagne et l'activation malveillante correspond étroitement à la durée de vie moyenne de 60 jours des campagnes publicitaires Google. Cela suggère que les acteurs malveillants ont délibérément laissé les publicités se dérouler jusqu'à leur terme, maximisant ainsi leur visibilité et les téléchargements avant de déployer pleinement les capacités de TamperedChef.