Uma campanha de malvertising identificada em 2025 está sendo responsabilizada pela disseminação de um infostealer chamado TamperedChef, entregue por instaladores que se passam por editores de PDF legítimos e promovidos por anúncios de busca.
Como a operação funciona
Segundo a investigação citada, os atacantes registraram múltiplos sites que imitam ferramentas de edição de PDF e passaram a divulgá‑los via Google Ads e outras redes de pesquisa. Usuários que buscavam por conversores ou manuais de equipamentos foram direcionados a páginas como fullpdf.com e pdftraining.com, onde baixavam o instalador Appsuite-PDF.msi.
Sequência técnica
O instalador maligno executa uma cadeia multi‑estágio:
- Desempacota um setup (PDFEditorSetup.exe), um script JavaScript ofuscado e executáveis adicionais;
- Estabelece persistência criando entradas no registro e tarefas agendadas do Windows;
- Implanta o componente infostealer (PDF Editor.exe) que, após um período dormente de ~56 dias, começa a coletar credenciais, cookies e dados de autofill dos navegadores;
- Abusa de certificados de assinatura de código legítimos (registrados em entidades da Malásia e dos EUA) para reduzir alertas do SmartScreen e aumentar a aparência de legitimidade.
Alcance e vetores alvo
O monitoramento pela equipe de resposta da Sophos identificou mais de 100 sistemas afetados em clientes, com vítimas em pelo menos 19 países e concentrações na Alemanha, Reino Unido e França. A campanha foi desenhada para atingir setores que rotineiramente buscam manuais e aplicações de suporte técnico, aumentando a taxa de sucesso do engano.
Características operacionais relevantes
A presença de um período dormente alinhado com ciclos típicos de campanha de publicidade (≈56 dias) indica uma intenção operacional deliberada de maximizar distribuição antes da ativação do roubo de dados. O uso de infraestrutura publicitária legítima (Google Ads) e certificados válidos destaca a combinação de técnicas "híbridas" — engenharia social amplificada por mecanismos pagos e artefatos técnicos para evasão.
Mitigações e recomendações
- Educar usuários para desconfiar de anúncios que prometam downloads de aplicações e preferir fontes oficiais;
- Bloquear ou monitorar downloads de instaladores MSI de domínios desconhecidos e configurar regras de proxy/URL filtering para sites identificados;
- Hardenizar verificações de assinatura de código e complementar com controles heurísticos em EDR para detectar persistência via tarefas agendadas e alterações suspeitas no registro;
- Auditar certificados de código usados internamente e usar Allowlisting quando possível.
Limitações das informações públicas
Os relatórios fornecem indicadores gerais de compromisso e exemplos de domínios, mas não divulgam uma lista exaustiva de indicadores IoCs (hashes, C2s) no conteúdo reproduzido. Equipes de resposta devem consultar os relatórios técnicos completos do fornecedor de inteligência para obter YARA, hashes e IPs associados.