Фейковые PDF-редакторы заражают ПК: предупреждение исследователей

Израильские медиа со ссылкой на специалистов по ИБ сообщают о рисках при установке «бесплатных редакторов PDF» из непроверенных источников. Речь не о дефектах легальных программ, а о поддельных сборках: исследователи описали кампанию TamperedChef, которая через рекламные объявления ведёт на сайты с троянизированным «PDF-редактором» и затем крадёт учётные данные и сессии браузеров.


Что произошло. С конца июня фиксируется кампания, где злоумышленники продвигают поддельный «AppSuite PDF Editor» и близкие по упаковке сборки через платные объявления и клон-сайты. После установки программа ведёт себя как обычный редактор, но спустя время активируется компонент TamperedChef — инфостилер с функциями бэкдора.

Как распространяют. Трафик заводят с рекламных площадок на домены-двойники, предлагающие «бесплатный редактор PDF». Отмечены параллельные рекламные цепочки и редиректы; часть сборок подписана спорными сертификатами, что усложняет фильтрацию на стороне ОС.

Как работает вредонос. После «тихого» периода порядка двух месяцев компонент закрепляется в системе, завершает процессы браузеров, обращается к DPAPI и выгружает пароли, cookie и токены сессий; при необходимости подкачивает дополнительный код.

Важная оговорка. Это не «уязвимость во всех бесплатных PDF-редакторах». Речь о подменённых сборках и рекламе, ведущей на них. Доказательств массовой эксплуатации конкретных CVE в популярных легитимных редакторах в рамках этой кампании не приводится. При этом вендоры легального ПО регулярно выпускают патчи, поэтому базовое правило прежнее: скачивать только с официальных сайтов и обновляться вовремя.

Здесь работает простая дисциплина: ставьте редакторы PDF только с официальных страниц вендора, рекламные «скачать бесплатно» пропускайте мимо. Перед установкой взгляните на цифровую подпись и хэш файла; в компаниях не давайте прав на самовольные инсталляции и держите включённый контроль приложений/EDR. Запустили подозрительный инсталлятор — сбросьте сессии в браузерах, смените пароли и проверьте автозапуски.

ИЗНАНКА

«Бесплатность» стала интерфейсом атаки. Когда редактор PDF — всего лишь маска для кражи сессий, цену платят учётные записи и доступ к рабочим системам.

Фото: соцсети.

Читайте, ставьте лайки, следите за обновлениями в наших социальных сетях и присылайте свои материалы в редакцию.

ИЗНАНКА — другая сторона событий.