Эксперты в сфере кибербезопасности зафиксировали масштабную кампанию распространения вредоносного ПО TamperedChef, которое выдаёт себя за легальный PDF‑редактор. По данным компании Truesec, разработчик инструмента AppSuite PDF Editor, продвигавшегося через рекламные объявления Google, фактически предлагал пользователям программу с внедрённым инфостилером — вирусом, предназначенным для кражи конфиденциальной информации.
Распространение шло через сеть из более чем 50 сайтов с поддельными сертификатами, выданными как минимум четырьмя различными компаниями. По словам специалистов, атака была хорошо спланированной: активные вредоносные функции приложения запускались не сразу, а после завершения рекламной кампании.
Исследователи уточняют, что TamperedChef активировался с параметром «-fullupdate» и собирал учётные данные, cookies и другую чувствительную информацию, обращаясь к зашифрованным данным браузеров с помощью встроенного механизма Windows — DPAPI.
Кампания стартовала ещё в мае, а основная фаза пришлась на конец августа 2025 года. Согласно данным Truesec, вирус вёл себя как обычное приложение до момента получения обновления 21 августа, после чего начал работать как полноценный инфостилер.
Эксперты рекомендуют пользователям срочно проверить системы, в которых использовался AppSuite PDF Editor, и установить актуальные обновления антивирусного ПО. Также подчёркивается, что установка программ из сомнительных источников, даже если они рекламируются через крупные платформы, остаётся одной из главных причин заражения вредоносным ПО.