TamperedChef: вредоносная реклама в поиске Google стала источником массовой кражи данных

Предыдущие исследования показывают, что кампания стартовала 26 июня 2025 года, когда были зарегистрированы многочисленные поддельные веб-сайты. Эти ресурсы продвигали через Google Ads троянизированное приложение AppSuite PDF Editor, которое внешне выглядело как легитимный софт, но при установке на устройства Windows тихо разворачивало похититель данных. Анализ телеметрии Sophos подтвердил, что до начала активного противодействия были заражены системы более чем в 100 клиентских средах.

География атак оказалась широкой: больше всего пострадавших выявлено в Германии (около 15%), Великобритании (около 14%) и Франции (около 9%). Всего же зафиксированы жертвы в 19 странах, что указывает на глобальный масштаб кампании без явной привязки к конкретному региону. Особенно сильно пострадали отрасли, где работа зависит от специализированного технического оборудования. Вероятно, злоумышленники эксплуатировали привычку сотрудников таких компаний искать в сети руководства по эксплуатации, подменяя результаты поиска вредоносными ссылками.

Расследование выявило сложную многослойную инфраструктуру распространения. Злоумышленники применяли продвинутые тактики, включая период задержки активации, использование программы-приманки, поэтапную доставку вредоносного кода (payload), злоупотребление код-сайнинг сертификатами и методы уклонения от защиты на конечных точках. Согласно данным других исследовательских групп, кампания остается активной, появляются новые компоненты, хотя конкретные домены, наблюдавшиеся Sophos, уже не функционируют.

Хронология атаки и ее механизм

Кампания развивалась поэтапно. Еще в августе 2024 года операторы TamperedChef тестировали методы доставки с помощью потенциально нежелательных приложений (PUA). Основная фаза началась 26 июня 2025 года с регистрации сайтов-клонов и запуска рекламных кампаний. Ключевой особенностью стала стратегическая задержка: после установки вредоносное ПО оставалось неактивным около 56 дней. Этот период совпадает с типичным циклом платной рекламы, что позволило максимизировать число заражений до активации.

21 августа 2025 года злоумышленники дистанционно активировали скрытые функции похитителя данных. Вредонос начал собирать учетные данные из браузеров, файлы cookies и другую конфиденциальную информацию, одновременно обеспечивая себе постоянное присутствие (persistence) в системе через задания планировщика задач и изменения в реестре. Обнаружение и реагирование со стороны Sophos MDR началось 3 сентября, после чего последовала многодневная операция по очистке систем. Однако обнаружение новых связанных доменов и сертификатов свидетельствует, что угроза продолжает эволюционировать.

Цепочка атаки была типичной для malvertising. Пользователь, ищущий, например, инструкцию к бытовой технике в поисковике Bing, видел в результатах рекламу, ведущую на легитимный сайт manualslib[.]com. При попытке скачать PDF-файл пользователь перенаправлялся через рекламный URL на домен fullpdf[.]com, где ему предлагалось установить троянизированный AppSuite PDF Editor.

Установочный файл AppSuite-PDF.msi разворачивал исполняемый файл PDFEditorSetup.exe, который обеспечивал постоянство и устанавливал финальный похититель данных PDF Editor.exe. Этот вредонос, помимо кражи данных, соединялся с командным сервером (C2) для их выгрузки и получал дополнительную полезную нагрузку - троянизированное приложение ManualFinderApp.exe, выполняющее функции бэкдора и похитителя данных.

Технические детали и защита

Вредоносное ПО применяло несколько методов для уклонения от обнаружения. Перед выполнением операций по хищению оно сканировало систему на наличие установленных продуктов безопасности, таких как Bitdefender, Kaspersky или G DATA, опрашивая реестр Windows. Для кражи данных использовался Windows Data Protection API (DPAPI). Кроме того, злоумышленники злоупотребляли код-сайнинг сертификатами, выданными на компании в Малайзии и США, чтобы обмануть встроенные механизмы безопасности Windows, такие как SmartScreen.

Для противодействия угрозе Sophos рекомендует пользователям проявлять осторожность. Следует избегать установки программного обеспечения из рекламных ссылок, даже если они выглядят надежно, и загружать софт только с официальных сайтов производителей. В корпоративной среде необходимо внедрять строгий контроль приложений, отказываться от хранения паролей в браузерах в пользу менеджеров паролей и повсеместно использовать многофакторную аутентификацию (MFA). Также критически важны обучение пользователей распознаванию вредоносной рекламы и регулярное сканирование систем на предмет компрометации.

Эксперты Sophos отмечают, что злонамеренная реклама остается высокоэффективным вектором атаки. Успех кампании TamperedChef, основанный на убедительной маскировке, таргетированной рекламе и использовании сертификатов, вероятно, вдохновит другие киберпреступные группы на повторение подобной схемы в будущем.

Domains

• appsuites.ai
• click4pdf.com
• download02.pdfgj.com
• download04.pdfgj.com
• easyonestartpdf.com
• fastonestartpdf.com
• fullpdf.com
• getsmartpdf.com
• onestartbrowser.com
• pdfappsuite.com
• pdfdoccentral.com
• pdffacts.com
• pdffacts.net
• pdffilehub.net
• pdfhubspot.com
• pdf-kiosk.com
• pdf-kiosk.net
• pdfmeta.com
• pdfonestart.com
• pdfonestarthub.com
• pdfonestartlive.com
• pdfscraper.com
• pdfsmartkit.com
• pdftraining.com
• pdfts.site
• pdfworker.com
• smarteasypdf.com
• vault.appsuites.ai

URLs

• https://portal.manualfinder.app/sapi/iidsuccesssrc\main.rs
• https://portal.manualfinder.app/sapi/reg

SHA1

• ee1c374311170810dc722a21545aca9e9278d03c

SHA256

• 09207f1dfdd000b42b3433b85d051e8e446a1a1f2f63ab66d47edb9b196f618c
• 13698b05960edbda52fa8f4836526f27e8fc519ca0f4a7bc776990568523113e
• 2e224a7a7bc6e85f8d16ae4258ee5f88a5bcc104148c0612250e6c2faf37a187
• 71edb9f9f757616fe62a49f2d5b55441f91618904517337abd9d0725b07c2a51
• abbb3e96b910c9d1e2074dc05fd51e78984941f03bcb7d443714838849a7a928
• afb0c6b4b0af0a14ac725c025ac70e8b2d8b392094ecdb10e8a2afe2ecf47ea8
• b66d89ee13a48e9c8d4a7aa2e3e1cb2b79f0b95e4f74f4184b85628656281588
• b9b4375c1992b71f9dc08ee613b2b316b8df8b9e1fdd2c7a1e98d89f43a1625f
• bd21360149904ce42c6927d9c3fb482316f2537a4a7bce8b64990428e27a54ac
• cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c
• ce0019424497040351c9054aa2ee6b07fc610024cc2cb2cc810de80f838c7a14
• cf5194e7f63de52903b5d61109fd0d898b73dd3a07512e151077fba23cdf4800
• da3c6ec20a006ec4b289a90488f824f0f72098a2f5c2d3f37d7a2d4a83b344a0
• ed797beb927738d68378cd718ea0dc74e605df0e66bd5670f557217720fb2871
• f748022beadc73f905f9cd2d5b94be2095265433f6c9770860facda2f6b623c6
• fde67ba523b2c1e517d679ad4eaf87925c6bbf2f171b9212462dc9a855faa34b