Cybersecurity -onderzoekers hebben een cybercriminaliteitscampagne ontdekt die malvertising -trucs gebruikt om slachtoffers naar frauduleuze sites te leiden om een nieuwe informatietaal te leveren genaamd Geknipperdchef.
“Het doel is om slachtoffers te lokken om een Trojanised PDF-editor te downloaden en te installeren, met een informatie-stelen malware genaamd Famperedchef,” zei Truesec-onderzoekers Mattias Wåhlén, Nicklas Keijser en Oscar Lejerbäck Wolf in een rapport gepubliceerd woensdag. “De malware is ontworpen om gevoelige gegevens te oogsten, waaronder referenties en webcookies.”
De kern van de campagne is het gebruik van verschillende nep -sites om een installatieprogramma te promoten voor een gratis PDF -editor genaamd Appsuite PDF -editor die, eenmaal geïnstalleerd en gelanceerd, aan de gebruiker een prompt weergeeft om in te stemmen met de voorwaarden van de software en het privacybeleid van de software.
Op de achtergrond doet het installatieprogramma echter verborgen aanvragen aan een externe server om het PDF -editorprogramma te laten vallen, terwijl het ook persistentie op de host instelt door Windows -registerwijzigingen aan te brengen om ervoor te zorgen dat het gedownloade uitvoerbare bestand automatisch wordt gestart na een herstart. De registersleutel bevat een parameter -CM -argumenten om instructies door te geven aan het binaire bestand.
Het Duitse cybersecuritybedrijf G -gegevens, die ook de activiteit analyseerden, zeiden dat de verschillende websites die deze PDF -editors aanbieden, hetzelfde installatie -installatieprogramma downloaden, dat vervolgens het PDF -editorprogramma van de server downloadt zodra de gebruiker de licentieovereenkomst accepteert.
“Vervolgens wordt de hoofdtoepassing zonder argumenten uitgevoerd, wat gelijk is aan het starten van de routine -installatie,” zeiden beveiligingsonderzoekers Karsten Hahn en Louis Sorita. “Het creëert ook een Autorun-invoer die het opdrachtregelargument-CM =-Fullupdate levert voor de volgende run van de kwaadaardige applicatie.”
Er wordt beoordeeld dat de campagne op 26 juni 2025 van start ging, toen veel van de namaaklocaties werden geregistreerd of begonnen met het adverteren van de PDF -bewerkingssoftware via ten minste vijf verschillende Google -advertentiecampagnes.
“In eerste instantie lijkt de PDF zich meestal onschadelijk te hebben gedragen, maar de code bevatte instructies om regelmatig terug te komen voor mogelijke updates in een .JS -bestand dat de -CM -argumenten bevat,” legden de onderzoekers uit. “Vanaf 21 augustus 2025 ontvingen machines die teruggeroepen instructies die de kwaadaardige mogelijkheden, een informatie -stealer, activeerden, aangeduid als ‘FamperedChef’.
Eenmaal geïnitialiseerd, verzamelt de Stealer een lijst met geïnstalleerde beveiligingsproducten en pogingen om webbrowsers te beëindigen om toegang te krijgen tot gevoelige gegevens, zoals referenties en cookies.
Verdere analyse van de malware -racetoepassing door G -gegevens heeft aangetoond dat deze fungeert als een achterdeur, wat een aantal functies ondersteunt –
- -Installeer, om geplande taken te maken met de naam PDFEDITORSCREDULEDTASK en PDFeditorusCheduledTask die de applicatie uitvoeren met —CM =-PartialUpdate en-cm =-BackupUpdate-argumenten, om respectievelijk de –check- en –pingroutine te activeren
- –Cleanup, dat door de Uninstaller wordt opgeroepen om de backdoor-bestanden te verwijderen, de machine van de server te registreren en de twee geplande taken te verwijderen
- -Ping, om communicatie te initiëren met een command-and-control (C2) voor acties om uit te voeren op het systeem, die onder andere extra malware-downloads, gegevensuitvoeringen en registerwijzigingen toestaan
- -Controleer om contact op te nemen met de C2-server voor configuratie, lees browsersleutels, wijzig browserinstellingen en voer willekeurige opdrachten uit om gegevens te vragen, te exfilteren en gegevens te manipuleren die zijn geassocieerd met chroom-, onelaunch- en golfbrowsers, inclusief referenties, browsergeschiedenis, cookies of setting aangepaste zoekmachines of setting custom zoek en engines
- -REBOOT, hetzelfde als-Controleer samen met mogelijkheden om specifieke processen te doden
“De lengte vanaf het begin van de (AD) -campagne tot de kwaadaardige update was ook 56 dagen, die dicht bij de 60-daagse lengte van een typische Google-advertentiecampagne ligt, wat suggereert dat de dreigingsacteur de advertentiecampagne zijn cursus heeft laten werken, het maximaliseren van downloads, voordat de kwaadaardige functies worden geactiveerd,” zei Truesec.
De openbaarmakingen vallen samen met een analyse van Expel die een grote advertentiecampagne -advertentie -PDF -editors beschreef, waarbij de advertenties gebruikers naar websites sturen naar websites die downloads van tools aanbieden, zoals AppSuite, PDF Onestart en PDF -editor. In sommige gevallen zijn deze PDF -programma’s gevonden om andere Trojanized -apps te downloaden zonder toestemming van gebruikers of de hosts om te zetten in residentiële proxy’s.
“Appsuite PDF -editor is kwaadaardig,” zei G Data. “Het is een klassiek Trojan -paard met een achterdeur die momenteel massaal wordt gedownload.”
