Найти в Дзене
ИЗНАНКА - новостной портал
7443 подписчика

Фейковые PDF-редакторы заражают ПК: предупреждение исследователей

2 мин
Фейковые PDF-редакторы заражают ПК: предупреждение исследователей Израильские
медиа со ссылкой на специалистов по ИБ сообщают о рисках при установке «бесплатных редакторов PDF» из непроверенных источников. Речь не
о дефектах легальных программ, а о поддельных сборках: исследователи описали кампанию TamperedChef, которая через рекламные объявления ведёт на сайты с
троянизированным «PDF-редактором» и затем крадёт учётные данные и сессии браузеров.
Что произошло. С конца июня фиксируется кампания, где злоумышленники продвигают поддельный «AppSuite PDF Editor» и близкие по упаковке сборки через
платные объявления и клон-сайты. После установки программа ведёт себя как обычный редактор, но спустя время активируется компонент TamperedChef — инфостилер
с функциями бэкдора.
Как распространяют. Трафик заводят с рекламных площадок на домены-двойники, предлагающие «бесплатный редактор PDF». Отмечены параллельные рекламные цепочки и редиректы; часть
сборок подписана спорными с

Фейковые PDF-редакторы заражают ПК: предупреждение исследователей Израильские
медиа со ссылкой на специалистов по ИБ сообщают о рисках при установке «бесплатных редакторов PDF» из непроверенных источников. Речь не
о дефектах легальных программ, а о поддельных сборках: исследователи описали кампанию TamperedChef, которая через рекламные объявления ведёт на сайты с
троянизированным «PDF-редактором» и затем крадёт учётные данные и сессии браузеров.


Что произошло. С конца июня фиксируется кампания, где злоумышленники продвигают поддельный «AppSuite PDF Editor» и близкие по упаковке сборки через
платные объявления и клон-сайты. После установки программа ведёт себя как обычный редактор, но спустя время активируется компонент TamperedChef — инфостилер
с функциями бэкдора.

Как распространяют. Трафик заводят с рекламных площадок на домены-двойники, предлагающие «бесплатный редактор PDF». Отмечены параллельные рекламные цепочки и редиректы; часть
сборок подписана спорными сертификатами, что усложняет фильтрацию на стороне ОС.

Как работает вредонос. После «тихого» периода порядка двух месяцев компонент закрепляется в системе, завершает процессы браузеров, обращается к DPAPI и
выгружает пароли, cookie и токены сессий; при необходимости подкачивает дополнительный код.

Важная оговорка. Это не «уязвимость во всех бесплатных PDF-редакторах». Речь о подменённых сборках и рекламе, ведущей на них. Доказательств массовой
эксплуатации конкретных CVE в популярных легитимных редакторах в рамках этой кампании не приводится. При этом вендоры легального ПО регулярно выпускают
патчи, поэтому базовое правило прежнее: скачивать только с официальных сайтов и обновляться вовремя.

Здесь работает простая дисциплина: ставьте редакторы PDF только с официальных страниц вендора, рекламные «скачать бесплатно» пропускайте мимо. Перед установкой взгляните
на цифровую подпись и хэш файла; в компаниях не давайте прав на самовольные инсталляции и держите включённый контроль приложений/EDR. Запустили
подозрительный инсталлятор — сбросьте сессии в браузерах, смените пароли и проверьте автозапуски.

ИЗНАНКА

«Бесплатность» стала интерфейсом атаки. Когда редактор PDF — всего лишь маска для кражи сессий, цену платят учётные записи и доступ к рабочим системам.

Фото: соцсети.

Читайте, ставьте лайки, следите за обновлениями в наших социальных сетях и присылайте свои материалы в редакцию.

ИЗНАНКА — другая сторона событий.

Гаджеты и электроника
5,73 млн интересуются