TamperedChef惡意程式偽裝成PDF編輯器 竊取帳密與瀏覽器Cookie

資安研究人員發現一起大規模網路犯罪活動，駭客利用 Google 廣告推廣多個偽造網站，散佈名為 TamperedChef 的新型資料竊取惡意軟體。這些攻擊者建立了超過 50 個網域來託管具欺騙性的應用程式，並使用至少四家不同公司簽發的偽造憑證為這些程式進行數位簽章。

大規模惡意廣告活動：透過假冒 PDF 編輯器竊取用戶資料

這起攻擊的核心策略是透過多個虛假網站推廣「AppSuite PDF Editor」免費軟體。使用者下載安裝後，程式會顯示服務條款和隱私政策同意畫面，但同時在背景中悄悄向外部伺服器請求下載真正的 PDF 編輯器程式。它還會修改 Windows 登錄檔建立持久性後門，確保系統重新啟動後惡意程式能自動執行。

Truesec 和 G DATA 分析發現，這波攻擊始於 2025 年 6 月 26 日，當時多個偽造網站被註冊並透過至少五個不同的 Google 廣告活動推廣這款 PDF 軟體。雖然惡意程式在 VirusTotal 掃描服務中最早於 5 月 15 日被發現，但駭客採取了精明策略，讓程式初期保持正常運作，直到 8 月 21 日才透過「fullupdate」更新參數啟動其惡意功能。

複雜的惡意功能：資料竊取與住宅代理網路

TamperedChef 惡意軟體具備多項進階後門功能，包括：建立名為「PDFEditorScheduledTask」和「PDFEditorUScheduledTask」的排程任務、與指令控制伺服器 (C2) 通訊、下載額外惡意軟體、竊取資料及修改登錄檔設定。它會檢查系統上安裝的各種安全產品，並嘗試終止網頁瀏覽器程序，藉此存取敏感資料，如帳號憑證和 Cookie。

值得特別注意的是，此惡意軟體能讀取瀏覽器金鑰、修改設定，並對 Chromium、OneLaunch 和 Wave 等瀏覽器執行任意指令，進而竊取瀏覽歷史記錄、Cookie，甚至設定自訂搜尋引擎。更令人擔憂的是，部分 PDF Editor 版本會向使用者請求允許將裝置作為住宅代理伺服器使用，以換取免費使用該工具的權限。

Expel 研究團隊發現，這些駭客至少從 2024 年 8 月開始活躍，除了 AppSuite PDF Editor 外，還推廣 OneStart 和 Epibrowser 等工具。這些應用程式能夠相互下載，形成一個複雜的惡意軟體生態系統。部分程式會在未經使用者同意的情況下，下載其他木馬化應用程式或將主機轉變為住宅代理。

攻擊策略與防護建議：精心策劃的長期威脅

這起攻擊活動展現出高度組織性和策略性。駭客刻意等待廣告活動運行到接近 Google 典型的 60 天期限（具體為 56 天）才啟動惡意功能，以最大化下載次數後再激活惡意特徵。研究人員發現，從廣告活動開始到惡意更新啟動的時間長度恰好接近 Google 廣告活動的標準 60 天週期，這表明威脅行為者精心計算了完整的廣告運行時間，目的就是最大化感染數量。

雖然此攻擊活動使用的程式碼簽章憑證已被撤銷，但已安裝的程式仍存在風險。研究人員警告，這起攻擊涉及更多應用程式，其中部分尚未被武器化的程式有能力散佈惡意軟體、傳送可疑檔案，或在系統上祕密執行指令。提供代理網路的服務商可能是合法實體，並未直接參與此攻擊活動，而 PDF Editor 的營運者則可能透過聯盟行銷模式獲利。

儘管這些程式被歸類為「可能不需要的程式」(PUP)，但其功能特性實際上與典型惡意軟體完全相符，因此應以處理惡意軟體的標準來應對。Truesec 與 Expel 的研究報告提供了大量入侵指標(IoCs)，資安防護人員應參考這些資訊，強化防護措施以保護使用者和企業資產。這起攻擊更清楚顯示攻擊者不惜犧牲全球使用者的安全，只為了最大化其獲利。

本文轉載自 BleepingComputer、TheHackerNews。