Siber güvenlik araştırmacıları, kurbanları hileli alanlara yönlendirmek için kötüverizasyon hilelerini kullanan bir siber suç kampanyası keşfettiler. Kurcalanmış şef.
Truesec araştırmacıları Mattias Wåhlén, Nicklas Keijser ve Oscar Lejerbäck Wolf Çarşamba günü yayınlanan bir raporda yaptığı açıklamada, “Kurbanları TrupedChef olarak adlandırılan bir bilgi çalan kötü amaçlı yazılım içeren bir Truva atı PDF editörünü indirmeye ve kurmaya teşvik etmektir.” “Kötü amaçlı yazılım, kimlik bilgileri ve web çerezleri de dahil olmak üzere hassas verileri toplamak için tasarlanmıştır.”
Kampanyanın merkezinde, bir kez yüklenip başlatıldıktan sonra kullanıcıya yazılımın hizmet ve gizlilik politikasını kabul etme istemi görüntülenen AppSuite PDF editörü adlı ücretsiz bir PDF düzenleyicisi için bir yükleyiciyi tanıtmak için birkaç sahte sitenin kullanılması vardır.
Bununla birlikte, arka planda, kurulum programı harici bir sunucuya PDF düzenleyici programını bırakması için gizli istekler yapar ve ayrıca indirilen yürütülebilir dosyanın yeniden başlatıldıktan sonra otomatik olarak başlatıldığından emin olmak için Windows kayıt defteri değişiklikleri yaparak ana bilgisayarda kalıcılığı ayarlar. Kayıt Defteri Anahtarı, İkili’ye talimatları geçmek için bir –cm argüman parametresi içerir.
Etkinliği de analiz eden Alman Siber Güvenlik Şirketi G verileri, bu PDF editörlerine sunan çeşitli web sitelerinin aynı kurulum yükleyicisini indirdiğini ve daha sonra kullanıcı lisans sözleşmesini kabul ettikten sonra PDF düzenleyici programını sunucudan indirdiğini söyledi.
Güvenlik araştırmacıları Karsten Hahn ve Louis Sorita, “Daha sonra ana uygulamayı, –ststall rutini başlatmaya eşdeğer olan argüman olmadan yürütüyor.” Dedi. “Ayrıca, kötü amaçlı uygulamanın bir sonraki çalışması için-cm =-fullupdate komut satırı argümanını sağlayan bir otomatik giriş oluşturur.”
Kampanyanın, sahte sitelerin çoğunun kayıtlı olduğu veya PDF düzenleme yazılımının en az beş farklı Google reklam kampanyası aracılığıyla reklam vermeye başladığı 26 Haziran 2025’te başladığı değerlendirildi.
Araştırmacılar, “İlk başta PDF’nin çoğunlukla zararsız davrandığı görülüyor, ancak kod, –cm argümanlarını içeren bir .js dosyasındaki potansiyel güncellemeleri düzenli olarak kontrol etmek için talimatlar içeriyordu.” “21 Ağustos 2025’ten itibaren, geri çağrılan makineler, kötü amaçlı yetenekleri etkinleştiren talimatlar aldı, bir bilgi stealer, ‘kurutperedchef’ olarak adlandırıldı.”
Başlatıldığında, stealer yüklü güvenlik ürünlerinin bir listesini toplar ve kimlik bilgileri ve çerezler gibi hassas verilere erişmek için web tarayıcılarını sonlandırmaya çalışır.
Kötü amaçlı yazılım uygulamasının G verileriyle daha fazla analizi, bir dizi özelliği destekleyen bir arka kapı görevi gördüğünü ortaya koymuştur –
- –constall,-cm =-partipupdate ve –cm =-backupupdate argümanları ile uygulamayı çalıştıran PDFeditorscheduledTask ve PDFEditoruscheduledTask adlı planlanmış görevler oluşturmak için –Check ve–ping rutinlerini tetiklemek için sırasıyla
- -Uninstaller tarafından arka kapı dosyalarını kaldırmak, makineyi sunucudan kaydetmek ve planlanan iki görevi silmek için çağrılan Cleanup
- -Ping, sistemde yürütülecek eylemler için bir komut ve kontrol (C2) ile iletişimi başlatmak, diğerlerinin yanı sıra ek kötü amaçlı yazılımlar, veri açığa çıkma ve kayıt defteri değişikliklerine izin veriyor
- -Konfigürasyon için C2 sunucusuyla iletişim kurmak, tarayıcı anahtarlarını okuyun, tarayıcı ayarlarını değiştirin ve krom, tarayıcı geçmişi ve dalga tarayıcılarıyla ilişkili verileri sorgulamak, dışarı atmak ve manipüle etmek için rasgele komutları yürütmek için, kimlik bilgileri, tarayıcı geçmişi, çerezler veya özel arama enksinleri ayarları dahil
- –reboot,-belirli süreçleri öldürme yetenekleriyle birlikte kontrol edin
“Başlangıçtan itibaren uzunluk [ad] Tipik bir Google reklamcılık kampanyasının 60 günlük uzunluğuna yakın olan kötü niyetli güncelleme de 56 gün olana kadar kampanya, tehdit oyuncusunun, reklam kampanyasının kötü niyetli özellikleri etkinleştirmeden önce indirmeleri en üst düzeye çıkarmasına izin verdiğini gösteriyor. “Dedi.
Açıklamalar, PDF editörlerini reklam veren büyük bir reklam kampanyası reklamı detaylandıran ve kullanıcıları Appsuite, PDF Onestart ve PDF editörü gibi araçların indirmelerini sunan web sitelerine yönlendiren bir analizle çakışır. Bazı durumlarda, bu PDF programlarının kullanıcıların rızası olmadan diğer truva işlemlerini indirdiği veya ana bilgisayarları konut vekillerine dönüştürdüğü bulunmuştur.
“Appsuite PDF editörü kötü niyetlidir,” dedi G verileri. “Şu anda kitlesel olarak indirilmiş bir arka kapıya sahip klasik bir Truva atı.”