Коротко: исследователи обнаружили целевую кампанию вредоносной рекламы TamperedChef, которая распространяет поддельные приложения — в частности, PDF-редактор — через загрузку MSI-пакетов с показом лицензии (EULA). Первоначально вредоносная нагрузка была пассивна, но 21 августа 2025 года активировалась с целью кражи учётных данных браузера. После раскрытия злоумышленники выпустили «чистые» версии, остававшиеся связанными с их инфраструктурой; параллельно была зафиксирована попытка развития нового проекта S3-Forge.
Как работает кампания
Атака строится вокруг механизма вредоносной рекламы: жертве показывается заманчивое предложение скачать «законное» приложение (в частности, PDF-редактор). Загрузка распространяется в виде Microsoft Installer (MSI). При установке пользователь видит стандартное диалоговое окно принятия лицензионного соглашения с конечным пользователем (EULA), что повышает доверие и помогает обойти некоторые автоматические проверки, включая поведение в изолированных средах (sandbox).
Такой подход сочетает социальную инженерию и технические ухищрения: кажущаяся легитимность интерфейса и подписи MSI снижает подозрения со стороны пользователей и затрудняет раннее обнаружение вредоносной активности.
Хронология и цели
- Период до 21 августа 2025: вредоносный MSI устанавливался и работал без явной активности — поведение «молчащей» подготовки инфраструктуры и ожидание активации.
- 21 августа 2025: активация вредоносной нагрузки с фокусом на кражу учётных данных браузера.
- После раскрытия: операторы выпустили версии, позиционируемые как «чистые», однако они оставались подключены к той же инфраструктуре, что сводит на нет заявления об устранении угрозы.
«приложение функционировало как сборщик учетных данных» — формулировка, отражающая основной риск для пользователей.
Побочные и родственные разработки
Кроме основного PDF-редактора, исследователи нашли приложение AppSuite Print, созданное примерно в то же время. AppSuite Print содержало запутанный файл JavaScript и имело сходства в коде и цифровых подписях с редактором PDF, но не было доказательств его активного развёртывания — это позволяет предположить, что проект был заброшен из-за недостаточного спроса.
После резонанса злоумышленники переключились на разработку нового продукта под названием S3-Forge. Новая разработка демонстрирует использование общих артефактов кода и устоявшихся шаблонов разработки, что указывает на адаптивность и готовность продолжать кампанию при изменении условий.
Методы обнаружения и проблемы
Меры обнаружения для TamperedChef реализуются через продукты безопасности, которые применяют сочетание общих (generic) и специфических сигнатур для выявления и блокировки угрозы. Тем не менее, постоянная эволюция тактик злоумышленников требует:
- регулярного обновления сигнатур и правил в системах EDR/AV;
- анализа поведения установщиков MSI и проверки необычных сетевых соединений после инсталляции;
- внимания к цифровым подписям и их соответствию ожидаемым издателям;
- включения эвристических и поведенческих детекторов, которые отслеживают признаки сбора учётных данных.
Рекомендации по защите для организаций
Исходя из характера кампании, эксперты рекомендуют предпринять следующие шаги:
- Отключить автоматическую установку MSI без проверки и ограничить права на установку приложений пользователям без админ‑прав.
- Блокировать загрузку установщиков из источников, связанных с вредоносной рекламой и сомнительными доменами.
- Внедрить многофакторную аутентификацию (MFA) для критичных сервисов и учётных записей, чтобы снизить риск компрометации при краже паролей.
- Активно мониторить утечки кредитов браузера и использовать инструменты для обнаружения доступа к локальным хранилищам учётных данных.
- Проводить регулярный threat hunting и проверять индикаторы компрометации (IOCs), связанные с TamperedChef и S3-Forge.
- Обучать пользователей признакам вредоносной рекламы и проверке легитимности приложений (включая проверку цифровых подписей и источника загрузки).
Что это значит для безопасности в целом
Кампания TamperedChef демонстрирует тенденцию злоумышленников к использованию «белых» интерфейсов и легитимных установщиков для обхода автоматических механизмов защиты и социальной инженерии. Переход к новым проектам (S3-Forge) после обнаружения показывает, что операторы гибко адаптируют инструменты и инфраструктуру, сохраняя при этом цели по сбору учётных данных.
Вывод однозначен: защита должна быть многоуровневой — сочетать обновлённые сигнатуры, поведенческий анализ, ограничения на установку ПО, MFA и постоянный мониторинг сети и конечных точек.
Итог
TamperedChef — это пример целевой, продуманной кампании, использующей вредоносную рекламу и маскировку под легитимные продукты для кражи браузерных учётных данных. Быстрая адаптация злоумышленников и появление новых проектов требуют от организаций поддерживать проактивные меры безопасности и оперативно реагировать на инциденты, чтобы минимизировать риски утечек и компрометаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "TamperedChef: вредоносная реклама маскируется под PDF‑редактор".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.