Киберпреступники развернули широкую кампанию по распространению вредоносного ПО под видом «бесплатного» редактора PDF-документов.
Поддельное приложение, продвигаемое через рекламу Google, оказалось носителем инфостилера TamperedChef, способного красть учётные данные, cookies и другую чувствительную информацию.
Эксперты отмечают, что кампания была тщательно спланирована и велась сразу через десятки сайтов-клонов.
Аналитики Truesec установили, что вредонос распространялся под названием AppSuite PDF Editor. До середины августа программа выглядела безобидной, но после обновления получила аргумент запуска «-fullupdate», активировавший функции кражи данных. Вредонос проверяет наличие защитного ПО, обращается к базам браузеров и с помощью Windows DPAPI расшифровывает конфиденциальную информацию. Параллельно AppSuite мог подключать компьютер жертвы к прокси-сети без её ведома.
Следствие показало, что за кампанией стояло более 50 доменов, а подписи под вредоносными версиями программы выдавались минимум четырьмя разными компаниями, включая ECHO Infini и GLINT By J. Это позволило обходить часть защитных фильтров и убедительнее выглядеть для пользователей. Дополнительные исследования Expel выявили связь с другими подозрительными продуктами — например, браузером OneStart и утилитой ManualFinder, которые также загружали вредоносные компоненты.
Хотя сертификаты подписи кода уже аннулированы, угрозы для заражённых устройств сохраняются. Эксперты предупреждают: даже «бесплатные» инструменты, найденные через рекламу Google, могут оказаться частью глобальной схемы монетизации за счёт пользователей. В данном случае TamperedChef показал, что под видом утилиты для работы с PDF можно спрятать полноценный шпионский модуль.
Поддельное приложение, продвигаемое через рекламу Google, оказалось носителем инфостилера TamperedChef, способного красть учётные данные, cookies и другую чувствительную информацию.
Эксперты отмечают, что кампания была тщательно спланирована и велась сразу через десятки сайтов-клонов.
Аналитики Truesec установили, что вредонос распространялся под названием AppSuite PDF Editor. До середины августа программа выглядела безобидной, но после обновления получила аргумент запуска «-fullupdate», активировавший функции кражи данных. Вредонос проверяет наличие защитного ПО, обращается к базам браузеров и с помощью Windows DPAPI расшифровывает конфиденциальную информацию. Параллельно AppSuite мог подключать компьютер жертвы к прокси-сети без её ведома.
Следствие показало, что за кампанией стояло более 50 доменов, а подписи под вредоносными версиями программы выдавались минимум четырьмя разными компаниями, включая ECHO Infini и GLINT By J. Это позволило обходить часть защитных фильтров и убедительнее выглядеть для пользователей. Дополнительные исследования Expel выявили связь с другими подозрительными продуктами — например, браузером OneStart и утилитой ManualFinder, которые также загружали вредоносные компоненты.
Хотя сертификаты подписи кода уже аннулированы, угрозы для заражённых устройств сохраняются. Эксперты предупреждают: даже «бесплатные» инструменты, найденные через рекламу Google, могут оказаться частью глобальной схемы монетизации за счёт пользователей. В данном случае TamperedChef показал, что под видом утилиты для работы с PDF можно спрятать полноценный шпионский модуль.
