Los investigadores de ciberseguridad han descubierto una campaña de delitos cibernéticos que está utilizando trucos de malvertición para dirigir a las víctimas a sitios fraudulentos para entregar un nuevo robador de información llamado Jefe manipulado.
«El objetivo es atraer a las víctimas a la descarga e instalación de un editor de PDF troyanizado, que incluye un malware que roba información tampedChef», dijeron los investigadores de Truesec Mattias Wåhlén, Nicklas Keijser y Oscar Lejerbäck Wolf publicado en un informe publicado el miércoles. «El malware está diseñado para cosechar datos confidenciales, incluidas credenciales y cookies web».
En el corazón de la campaña se encuentra el uso de varios sitios falsos para promover un instalador para un editor PDF gratuito llamado AppSuite PDF Editor que, una vez instalado y lanzado, muestra al usuario un aviso para aceptar los términos de servicio y la política de privacidad del software.
En segundo plano, sin embargo, el programa de configuración hace solicitudes encubiertas a un servidor externo para soltar el programa del editor PDF, al tiempo que configura la persistencia en el host realizando cambios en el registro de Windows para garantizar que el ejecutable descargado se inicie automáticamente después de un reinicio. La clave de registro contiene un parámetro de argumentos -cm para aprobar instrucciones al binario.
La compañía de seguridad cibernética alemana G Data, que también analizó la actividad, dijo que los diversos sitios web que ofrecen estos editores de PDF descargan el mismo instalador de configuración, que luego descarga el programa PDF Editor desde el servidor una vez que el usuario acepta el acuerdo de licencia.
«Luego ejecuta la aplicación principal sin argumentos, que es equivalente a comenzar la rutina de instalación», dijeron los investigadores de seguridad Karsten Hahn y Louis Sorita. «También crea una entrada automática que suministra el argumento de la línea de comando –cm =-FullUpdate para la próxima ejecución de la aplicación maliciosa».
Se evalúa que la campaña comenzó el 26 de junio de 2025, cuando muchos de los sitios falsificados estaban registrados o comenzaron a anunciar el software de edición de PDF a través de al menos cinco campañas de publicidad de Google diferentes.
«Al principio, el PDF parece haberse comportado principalmente inofensivo, pero el código incluía instrucciones para verificar regularmente las posibles actualizaciones en un archivo .js que incluye los argumentos -cm», explicaron los investigadores. «Del 21 de agosto de 2025, las máquinas que devolvieron recibieron instrucciones que activaron las capacidades maliciosas, un robador de información, denominado ‘TamperedChef'».
Una vez inicializado, el Stealer reúne una lista de productos de seguridad instalados e intenta terminar los navegadores web para acceder a datos confidenciales, como credenciales y cookies.
Un análisis posterior de la aplicación con malware por datos G ha revelado que actúa como una puerta trasera, lo que respalda una serie de características,
- –instala, para crear tareas programadas llamadas PDFEDITORSCHEDULEDTASK y PDFEDITORUSCHEDULEDTASK que ejecutan la aplicación con –cm =-parcialupdate y –cm =-Backupupdate argumentos, respectivamente, para desencadenar las rutinas de comprobación y-ping-ping
- –Cleanup, que el desinstalador llama para eliminar los archivos de puerta trasera, desangrar la máquina del servidor y eliminar las dos tareas programadas
- –Ping, para iniciar comunicaciones con un comando y control (C2) para que las acciones se ejecuten en el sistema, que, entre otros, permiten descargas adicionales de malware, exfiltración de datos y cambios de registro
- -comprobar, contactar al servidor C2 para configurar, leer claves del navegador, alterar la configuración del navegador y ejecutar comandos arbitrarios para consultar, exfiltrarse y manipular datos asociados con los navegadores de cromo, onela y onda, incluidas credenciales, historial de navegadores, cookies o configuración de motores de búsqueda personalizados
- –Reboot, lo mismo que-verificar junto con las capacidades para matar procesos específicos
«La duración desde el comienzo de la campaña (AD) hasta la actualización maliciosa también fue de 56 días, que está cerca de la duración de 60 días de una típica campaña de publicidad de Google, lo que sugiere que el actor de amenazas dejó que la campaña publicitaria ejecute su curso, maximizando las descargas, antes de activar las características maliciosas», dijo Truesec.
Las divulgaciones coinciden con un análisis de Expel que detalló un gran anuncio publicitario de campaña publicitaria editores PDF, con los anuncios que dirigen a los usuarios a sitios web que ofrecen descargas de herramientas como AppSuite, PDF Onestart y PDF Editor. En algunos casos, se ha encontrado que estos programas PDF descargan otras aplicaciones troyanizadas sin el consentimiento de los usuarios o convierten los hosts en representantes residenciales.
«El editor de PDF de AppSuite es malicioso», dijo G Data. «Es un caballo clásico troyano con una puerta trasera que actualmente se descarga masivamente».