Eylül 2025’te tespit edilen bir kötü amaçlı reklam kampanyası, dünya çapındaki Windows kullanıcıları için önemli bir tehdit oluşturdu.
Saldırganlar, sahte PDF düzenleme uygulamaları oluşturdu ve TamperedChef adı verilen tehlikeli, bilgi çalan kötü amaçlı bir kötü amaçlı yazılımı dağıtmak için bunları Google Ads aracılığıyla tanıttı.
Kötü amaçlı yazılım, çevrimiçi cihaz kılavuzları ve PDF düzenleme araçları arayan kullanıcıları hedef alıyor ve birden fazla sektör ve bölgede sessiz enfeksiyon sağlamak için yaygın arama davranışlarından yararlanıyor.
Kampanya resmi olarak 26 Haziran 2025’te, tehdit aktörlerinin AppSuite PDF Editor adlı truva atı haline getirilmiş bir uygulamayı tanıtan birden fazla benzer web sitesini kaydetmesiyle başladı.
.webp)
Kullanıcılar yasal bir yazılım indirdiklerine inanıyordu, ancak yükleyici aslında hassas tarayıcı verilerini çalmak için tasarlanmış gizli kötü amaçlı kod içeriyordu.
Bu saldırıyı özellikle aldatıcı yapan şey, zamanlamasıdır; kötü amaçlı yazılım, tipik reklam kampanyası döngüleriyle eşleşecek şekilde yaklaşık 56 gün boyunca hareketsiz kaldı.
Bu stratejik gecikme, kötü amaçlı yazılımın, zararlı davranışlar sergilemeden önce mümkün olduğu kadar çok cihaza bulaşmasına olanak tanıdı.
Sophos analistleri ve araştırmacıları, yönetilen tespit ve müdahale operasyonları sırasında 100’den fazla etkilenen müşteri sistemini keşfettikten sonra kötü amaçlı yazılımı tespit etti.
Araştırmaları, kampanyanın dünya çapında en az 19 ülkeyi etkilemesine rağmen kurbanların çoğunlukla Almanya, Birleşik Krallık ve Fransa’dan geldiğini ortaya çıkardı.
Saldırganlar, çalışanların sık sık çevrimiçi ürün kılavuzları aradığı, özel ekipmanlara dayanan sektörleri hedef aldı; bu, tehdit aktörlerinin kötü niyetli yükleyicilerini yaymak için sistematik olarak istismar ettiği bir davranıştı.
Sessiz Enfeksiyon: TamperedChef Nasıl Çalışır?
TamperedChef’in enfeksiyon mekanizması, tespit edilmekten kaçınmak için tasarlanmış karmaşık, çok aşamalı dağıtım taktiklerini göstermektedir.
.webp)
Kullanıcılar, Google ve Bing gibi platformlardaki arama sonuçlarında görünen kötü amaçlı reklamlara tıklayarak işe başlıyor.
Bu reklamlar onları, Appsuite-PDF.msi yükleyicisini indirecekleri fullpdf.com ve pdftraining.com gibi aldatıcı web sitelerine yönlendirir.
Bu dosya yürütüldükten sonra, PDFEditorSetup.exe adlı yürütülebilir kurulum dosyasını, gizlenmiş bir JavaScript dosyası ve ek bir yürütülebilir dosyayla birlikte bırakır.
PDFEditorSetup.exe daha sonra kayıt defteri girişleri ve zamanlanmış Windows görevleri oluşturarak sessizce kalıcılık sağlar ve kötü amaçlı yazılımın sistem yeniden başlatıldığında hayatta kalmasını sağlar.
Son olarak yükleyici, tarayıcı kimlik bilgilerini, çerezleri ve otomatik doldurma verilerini toplamaya başlamak için 21 Ağustos 2025’te uyanan gerçek bilgi hırsızı bileşeni olan PDF Editor.exe’yi dağıtır.
Saldırganlar, Malezya ve ABD’de kayıtlı kuruluşların meşru kod imzalama sertifikalarını kötüye kullanarak, kötü amaçlı dosyalarının Windows SmartScreen korumalarını atlamasına ve şüphelenmeyen kullanıcılar için güvenilir görünmesine olanak tanıyarak operasyonlarını daha da geliştirdi.
Bu katmanlı enfeksiyon süreci, modern tehdit aktörlerinin, enfeksiyon başarısını en üst düzeye çıkarmak ve erken tespitleri en aza indirmek için kötü amaçlı reklamları, meşru görünen yazılım arayüzlerini ve sistem düzeyinde kaçınma tekniklerini nasıl birleştirdiğini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
