Исследователи из компании Sophos рассказали о масштабной кампании TamperedChef, в которой злоумышленники распространяют вредоносные программы через рекламные объявления, маскирующиеся под инструкции к технике и приложения для работы с PDF-документами. Атака получила широкое распространение на территории Европы и затронула организации из разных отраслей, в том числе предприятия в Германии, Великобритании и Франции.
Цепочка заражения начинается с обычного запроса в поисковике. Пользователь ищет руководство к бытовому устройству или утилиту для редактирования файлов, и видит в верхней части выдачи рекламную ссылку, оформленную как нужный документ. Подобный результат продвигается с помощью SEO-оптимизации или платной рекламы, поэтому выглядит вполне достоверно и находится на видном месте. После перехода на страницу жертве предлагают загрузить якобы нужный PDF-файл, в котором на самом деле скрыто вредоносное ПО.
Sophos описывает это ПО как инструмент для кражи информации с функцией задней двери. При активации программа собирает данные, извлекает содержимое браузеров, устанавливает соединение с удалённым сервером и загружает дополнительный файл под названием ManualFinderApp.exe. Этот компонент представляет собой троянизированное приложение с двойной задачей — скрытно передавать данные и сохранять постоянный доступ к системе.
Для того чтобы избежать обнаружения, программа не проявляет активность сразу. Исследователи отметили, что вредоносный код начинает работать только спустя 56 дней после первоначальной установки. Подобный отложенный запуск позволяет долгое время оставаться незаметным в корпоративной сети и повышает вероятность успешного сбора конфиденциальной информации.
Sophos обращает внимание на то, что атака оказывается особенно эффективной в тех организациях, сотрудники которых регулярно взаимодействуют со специализированным оборудованием и часто ищут технические руководства в интернете. Злоумышленники используют этот поведенческий шаблон, создавая поддельные PDF-файлы, способные проникнуть даже в защищённые среды.
Кампания TamperedChef была спроектирована с использованием нескольких уровней маскировки и инструментов обхода защиты. В отчёте упоминаются методы отсроченного запуска, внедрение по частям, использование сертификатов цифровой подписи и попытки избежать срабатывания систем защиты конечных устройств. Такая комбинация делает вредоносную активность трудноловимой даже для автоматизированных систем мониторинга.