TamperedChef Stealer

Investigadores de ciberseguridad han descubierto una campaña maliciosa que utiliza anuncios engañosos en línea para distribuir un nuevo ladrón de información conocido como TamperedChef. La operación se basa en publicidad maliciosa para dirigir a los usuarios a sitios fraudulentos donde se les convence de descargar un editor de PDF troyanizado.

Editor de PDF troyanizado como señuelo

El software falso, promocionado como AppSuite PDF Editor, engaña a los usuarios para que instalen una herramienta aparentemente legítima. Durante la instalación, se presenta a las víctimas un acuerdo de términos de servicio, lo que da la impresión de legitimidad. Sin embargo, tras bambalinas, el instalador se conecta de forma encubierta a un servidor remoto para eliminar la aplicación del editor, a la vez que modifica el Registro de Windows para establecer la persistencia.

El instalador garantiza que el programa se inicie automáticamente tras reiniciar el sistema mediante la incorporación de argumentos de línea de comandos (--cm) en el Registro. Estos argumentos permiten que el malware reciba instrucciones para ejecutar diferentes rutinas maliciosas.

Cronología del ataque

Las investigaciones sugieren que la campaña comenzó el 26 de junio de 2025, coincidiendo con el registro de varios sitios web falsificados y el lanzamiento de al menos cinco campañas publicitarias de Google que promocionaban el editor de PDF. Inicialmente, el programa parecía inofensivo, pero estaba diseñado para buscar actualizaciones constantemente desde un servidor remoto.

El 21 de agosto de 2025, casi dos meses después, las máquinas infectadas comenzaron a recibir instrucciones que activaban la carga maliciosa de TamperedChef. Este enfoque gradual permitió a los atacantes maximizar el número de víctimas antes de activar el malware.

Capacidades maliciosas de TamperedChef

Una vez activado, TamperedChef realiza un reconocimiento identificando las herramientas de seguridad instaladas y forzando el cierre de los navegadores web. Esto le otorga acceso a datos confidenciales, como credenciales almacenadas y cookies.

Un análisis más detallado reveló que el editor infectado con malware también funciona como una puerta trasera con múltiples opciones de línea de comandos. Estas permiten la persistencia, la limpieza, la comunicación con servidores de comando y control (C2) y la manipulación de los datos del navegador.

Funciones clave identificadas:

--install: crea tareas programadas (PDFEditorScheduledTask, PDFEditorUScheduledTask) que se ejecutan con argumentos de actualización y copia de seguridad para activar operaciones de verificación y ping.

--cleanup: lo ejecuta el desinstalador para borrar componentes de puerta trasera, anular el registro del host y eliminar tareas programadas.

--ping: establece comunicación C2 para recibir instrucciones para descargar más malware, alterar el Registro y exfiltrar datos.

--check: contacta al C2 para solicitar actualizaciones de configuración, roba credenciales, lee claves del navegador y modifica los navegadores Chromium, OneLaunch y Wave.

--reboot: similar a --check pero también capaz de finalizar procesos específicos.

Abuso estratégico de campañas publicitarias

La elección del momento elegido por los atacantes es notable. El retraso de 56 días entre el lanzamiento de la campaña y la activación maliciosa coincide con la duración típica de 60 días de las campañas publicitarias de Google. Esto sugiere que los actores de amenazas permitieron deliberadamente que los anuncios completaran su ciclo de vida, maximizando la exposición y las descargas antes de desplegar todas las capacidades de TamperedChef.