Кампания TamperedChef: вредоносная реклама привела к массовой краже учетных данных

Кампания действовала с мая 2025 года, маскируясь под легитимное приложение для редактирования PDF-документов. В течение почти двух месяцев программа функционировала как ожидалось, что помогало ей избегать обнаружения, прежде чем 21 августа активировался вредоносный модуль для сбора учетных данных браузеров. По словам исследователей, воздействие оказалось значительным - затронуто существенное количество систем.

Типичный процесс заражения начинался с того, что пользователь, ищущий бесплатный PDF-редактор, сталкивался с вредоносной рекламой кампанией. Клик по объявлению перенаправлял на контролируемую злоумышленниками страницу загрузки, где пользователь скачивал и запускал установочный пакет Microsoft Installer (MSI). Установщик отображал диалоговое окно принятия лицензионного соглашения (EULA), что усиливало видимость легитимности и помогало обходить автоматические проверки безопасности, включая анализ в песочницах.

После принятия лицензионного соглашения MSI загружал установщик приложения с домена vault[.]appsuites[.]ai. Установщик, созданный с помощью Nullsoft Scriptable Install System (NSIS), размещал приложение в каталоге пользователя и создавал постоянство через добавление записи в автозагрузку реестра. Критически важно, что установка не требовала прав администратора, что делало атаку эффективной в корпоративных средах с ограниченными привилегиями.

AppSuite PDF Editor написан на NodeJS и упакован как Electron-приложение. Его основной исполняемый файл функционирует как полнофункциональный браузер на основе Chromium, выполняющий связанный JavaScript. Вредоносная нагрузка размещалась в двух компонентах: сильно обфусцированном файле pdfeditor.js, отвечающем как за ограниченный пользовательский интерфейс, так и за вредоносную активность, и пользовательском модуле NodeJS Utilityaddon.node, который использовался для создания и удаления записей реестра, запланированных задач и других операций.

Когда вредоносная нагрузка активировалась, злоумышленники быстро отреагировали на обнаружение, выпустив "очищенные" версии приложения (1.0.40 и 1.0.41) всего через несколько дней. В этих версиях весь вредоносный JavaScript-код был удален, а код больше не подвергался обфускации. Однако приложение продолжало соединяться с контролируемой злоумышленниками инфраструктурой, поэтому его использование остается небезопасным.

В ходе расследования исследователи обнаружили похожее приложение-приманку под названием AppSuite Print, созданное и подписанное примерно в то же время, что и PDF Editor. Технически оно было практически идентично, но не найдено свидетельств его развертывания среди клиентов. По-видимому, злоумышленники отказались от этого варианта, вероятно, из-за низкого спроса на утилиту для печати.

После активации вредоносной нагрузки и последующего обнаружения защитными системами злоумышленники быстро переключились на новый проект под названием S3-Forge, который напрямую развивает концепцию PDF Editor, но остается на стадии активной разработки. Многие артефакты в кодовой базе продолжают ссылаться на PDF Editor, а исполняемые файлы не подписаны. Главное окно напоминает интерфейс PDF Editor, но соединяется с другим доменом, и приложение продолжает использовать оригинальную иконку PDF Editor.

Примечательный паттерн в S3-Forge, зеркально отражающий PDF Editor - наличие файла elevate.exe, устанавливаемого вместе с пакетом. Это инструмент с открытым исходным кодом, используемый для запуска сторонних программ с повышенными привилегиями. На данный момент S3-Forge не содержит вредоносного кода, что соответствует стадии разработки и тестирования различных компонентов приложения.

Кампания TamperedChef демонстрирует высокий уровень планирования и исполнения. Злоумышленники получили сертификаты для подписи кода, разработали правдоподобно выглядящие приложения и провели целенаправленную рекламную кампанию для максимизации числа установок. В результате любой, кто установил AppSuite PDF Editor, должен предполагать, что учетные данные, хранящиеся в браузере, были скомпрометированы.

Исследователи подчеркивают, что учитывая успех кампании, вероятно, злоумышленники попытаются применить похожие тактики в будущем, а другие угрозы могут последовать их примеру. Для защиты от подобных угроз рекомендуется избегать установки программного обеспечения, продвигаемого через рекламные объявления, использовать только проверенные источники, в бизнес-средах устанавливать только предварительно одобренные приложения, а также аннулировать сеансы и обновить учетные данные для затронутых пользователей.

Domains

• 5b7crp.com
• 9mdp5f.com
• abf26u.com
• mka3e8.com
• y2iax5.com

MD5

• 0defc375dc6dcdaed0ce4b249127755a
• 28c7e66012dab05a4a953d88f185ed2c
• 3474143f285fc35b0b1ae6ab407160d1
• 3909d81c6a38bffac887d96c6593f51d
• 3f744cb0496eb63557494b807c0681be
• 3febae41896885e91fdb20e0950c6054

SHA1

• 107316c0ebec469482b99fb8935cdb2ec327dcaa
• 17f77710c888e30917f71f7909086bcc2d131f61
• 29338264019b62d11f9c6c4b5a69b78b899b4df6
• 61ce7e9e22608ebc708c42b1ce5e842395c437d1
• 7533d9d9c5241d0e031c21304c6a3ff064f79072
• 76c675514eec3a27a4e551a77ed30fbb0dc43a01
• 99201eee9807d24851026a8e8884e4c40245fac7
• a2278eb6a438dc528f3ebfeb238028c474401bef

SHA256

• 003a69a0a2de87bcfd3982da1068478a8c2828eb07dc24edd93b419eb37d1980
• 018ea246585f9def1a14a2690afab6f9e8fcbf1febb6bf9b8463a204a50a5411
• 0826824694c80b854603f4c4103133113a197d3ecbca4308899ae9d6f05847fa
• 08ea829d5c97aab089abe19686d274f829aa1cee3670d2819885e33f39a4d602
• 09207f1dfdd000b42b3433b85d051e8e446a1a1f2f63ab66d47edb9b196f618c
• 105e58c4c04b56607badd705411e3322c152b8dbb21d994e7cdec62253a0e454
• 136836f64f7559868e01db4cbbef9f90f81bdea1278d6605fa13654134279e0c
• 16f854f6399f1c104446d3a3e2d25eb2088bf665186d892903f50ff4ed994181
• 1946d13a16aed7247ed341db933f34b61fc9bb1dcdbd81102c9c54f0ba566851
• 1bbf0e1323cff3168b548c4a80ec40fd3bed7630dccb7474ba4b8099df5e79d0
• 1dcd142daf1116b6a3fac113c638248bf2e0859bb55411cec2256e3d6e9e94ae
• 1e351bbae5338f24ce217ac182317ac7a4aee825cbaa5fe55cc347b650d2e987
• 216e604948812db2d5062b20504e9acaf271d745da544a2c5d074a5fbf111ac9
• 231ddfa8114475892dd404f27b769ab2e43e9101ec7a7d3608546154a8b75d4d
• 244251cab1f6df4bb39ba28645cbc4e26f84298b588b568a796d6520912c6156
• 255062c602a36f649baaec922cc8b98b27854e8e90b6ee8ded660a2e4e101b77
• 26163c7da9f0d9000937663497d7eb15df5c205cc2edbb71d664f08a5b1f80ce
• 2a3a9ab2ad245d3464b5cc1bc8270568b5c490e4972e99e8f94ab2177874d81a
• 2a3f76fc7f953403653eff71f21c16d40512c1bcd7a038657bb1d0a4efbee677
• 2bfa87dee2000f4e7889174f051ab88f4b690d08629b94721e321c44b7cf1bd3
• 2c9895fbdf8b86715a8e501f85d206b28cf9b61478826409a8a8ea17a067da22
• 2e846b8861d66d9bcaaf9615dc03798cf7f9c3231f2a1d2d31e3e652b954d4f5
• 2fee5916dad509ff4fea4f4b17795677bda7316253111b2abf7f523bae2a973e
• 35c34043a4a8b1f15ce9ab7661be6ace91348f725d59e53f04a36c41999812c7
• 37bd388296f6c46e45aa42053758ae17328cfa677ac9ba41ef925d3c8bccfb99
• 3c702aa9c7e0f2e6557f3f4ac129afd2ad4cfa2b027d6f4a357c02d4185359c4
• 3d4bdd41ebc630b8b676fc39e14de75a59cebf545cf342a4dea8072f5768c13e
• 3ea32c0cb15693383604ac493638e38c43c82946e8fd33825e11d0b8a19d2e60
• 406e26453a9eb779da6dd792e82cf904fbaf11b9e15471316276bb49098bdbf6
• 41dd100a033fb11430c6f656af92aa97894aa63832171d32dc70c90e8c2733ee
• 4d986e01e40ebcc495a1c4d98d7ee370b787dbe05da2954c0d8d49c5dcd4b345
• 4de81d968d1c032a49d48d6a67ca282d0b1702167e158b374896f2f04fe3ca83
• 504a614d8baae84c7c57e1786d22981fb016e4c9396ab10cc73197aa483d9261
• 5273bcdeb88ae274294ce71831b63a54ea8b1dd55b4b2222b5eeb0f44150f931
• 58273bdab14074b1ee6592116d3611a625c3dad5fcad004ca2a32962950ff845
• 5dddeedb394e61817ca8c8abe09532b0c8c5e1f9f4c08cedc5b62dd5e8e83505
• 6022fd372dca7d6d366d9df894e8313b7f0bd821035dd9fa7c860b14e8c414f2
• 6438b3c4eb5810c003d6f2cf1712652d3ce0504f08ae05aec1f07594e0a58a52
• 645e96594ec5fd50ed2d50fa7de20f33dc15ce4c13aecc5564a051f24770b4bb
• 69b373084e47cbb54a9003ae2435adb49f184bfa11989a2800700da22a153dff
• 6c4e54bbf98113068bdeef172ae6fb05fe1e99bb50ae4622b06e06af35b2b043
• 6e4cd57e87e034723d4c1a3ff93e8c9def0f27961da3e5bc361536e847a119cb
• 6e8b48972fab5610363cf4063c289e1670a252fdd40c020de0e3cfcd33c819f4
• 7dfa0774992032810660b413836e92f8ac3a4f6de5fa94c5f08c8159c34270e4
• 800a745e7a9f34064b79408aeac2b87515c49e5627dc344124c017ce86f43d3c
• 83efb5f2688207a7ccf49ddb81cb094543c2fef5bf73f01342cc39b0af68e72b
• 847dd2b363fc02d1f501207074eb4eecdff19063cc0cd7adce1572b428f970d8
• 86a6b355d86fb0d3544b9bdd00a90b308f2efb63abf6845c70d8acd87603e23d
• 898aa0bca40ec01d3564cb33f7a79f2e651f987ea65db913a62d427973ba5478
• 94acbfe1958b1b985701c8232fd3262ee01ef665ba59a92489b900d8f988b233
• 9704e97a395649e9ea4450b3afde5c1f1b22caa05407c4db3ef1625b9db05324
• 98bb0ab170efdf98414114d6c14a047d2144730f3552bb4aea36198fc49083ac
• 9becf480290d3ae7d368d291999c81aa9f47944a90633567e54c4049bcfa3eb4
• 9f572779dba2ef760f8a2bd7391dcafc099c430bcbd94c7d5247b210e1f095da
• a3fc5447a9638a3469bab591d6f94ee2bc9c61fc12fd367317eec60f46955859
• a68cb60c61cb31cbe23abe885ca4bd8694e2bd2dcbbd86d12a4fbf6b0cbd0a37
• a696cf7cead8a2219559c802ecc395dcafd2e8f084bfcb8b011c0454519dc5f2
• a92b89e5f05393f4844b85681cf5df63b9eb0ca49bb916dd60ed133eb9727bb3
• abb7541aba5abe1ff27b3867c1d45cea9c678743648ed8eed50bf32f8676e510
• ac1042c8e64165945b0b07972b16d9d6d0235110d9ff0701f889fcc30cfa4859
• af1185876d9d71955e6829f2475c1dce06d33522d0d0e66817d47b9318951314
• afb0c6b4b0af0a14ac725c025ac70e8b2d8b392094ecdb10e8a2afe2ecf47ea8
• b0f8fcb1622eef0a6b398425dd13cbf608771ba2042f32ec3282933a141eec77
• b3ef2e11c855f4812e64230632f125db5e7da1df3e9e34fdb2f088ebe5e16603
• b66d89ee13a48e9c8d4a7aa2e3e1cb2b79f0b95e4f74f4184b85628656281588
• b8bbf5aecfe0f437758f3f200539e51acfccf5ad9212c20967cfa4037b5a7e0d
• b9906cc6622a11fb67d5ad9db784dc9b62a0da5bd1fd4fe8887f74bfbbfe125d
• b9b4375c1992b71f9dc08ee613b2b316b8df8b9e1fdd2c7a1e98d89f43a1625f
• bb3a744ac6a75e732dea1bd2110bc101205a2d19fdc7fbca82058f287cd61f3b
• bcb46bf1c909958a09c52d22ca54dc281357e3c5bdc0f87a6f54553b7c31af9d
• be138ec40b1061ff0de92942d2496f6ae9cf98e6f173eb4d58fdf982a8d0648a
• bfdb330a8c56def312154c44aed2b36705850adaf6febced8d6d7740beb27715
• c0308cc7c56443ad23fbb26671dc8f77d253e873f77c4c3d2486b34317feb417
• c4f0b51308eb02c20e9bb33df80442b85b0cc0ad3ccf2598546d67c49242d506
• c541cfe6baea9c48e44f808977846c2f2a2dab4cfcca677701ceac6d8fc4e1cc
• c6dddeb7286806a99a2f208d094298d7fcaaae3cfba0103f9e0fe02ff6759069
• cc5f29470a11fadf33e39fc0561ae781b1759ff3a314251111356fe51007945e
• cdf51e7f8f24b01bed83da50839b15f143569740c88c2033c43cfc9c17c1b5c8
• ce27671c966d723f45522525fa4dd8912d09cae0f62b893870deb7ee1e7f4e0c
• d162b02a9163fc68ece3db162af0da2c33a595e2258aff171064a5383f41a566
• d3b7e26ed39783a6dd8fd107795d4afcf0a28dc5d9da1f4dd54ee905d9fb8f89
• da3c6ec20a006ec4b289a90488f824f0f72098a2f5c2d3f37d7a2d4a83b344a0
• e11aa8dd0b0bc4c21cb081f70565225abc192159f7deb4396aec5720941841ae
• e954548717c4c538b53ae4cc845cbfe5406b78ede79e4fd509ad2f2dfc4429ab
• f145e61e5d89f51fd3b94fef3e8bc2571aeae4c91c701751e9f603dfd5037dd9
• f181501175a30d5fce22af768321cd3de000bba5b19281f39abed236862a3107
• f3f6d8f2d22040811bd3d06f488cd84f146f3093d6ac79bf68cc522e73c88765
• f748022beadc73f905f9cd2d5b94be2095265433f6c9770860facda2f6b623c6
• f97c7edb0d8d9b65bf23df76412b6d2bbfbab6e3614e035789e4e1a30e40b7f1
• fbc7ffc5bdda978afe0f20910210752d91762b97d6d7719a5b3a1e352a4717c3
• fde67ba523b2c1e517d679ad4eaf87925c6bbf2f171b9212462dc9a855faa34b