2025年8月29日Ravie Lakshmananマルウェア / Windowsセキュリティ
サイバーセキュリティ研究者は、被害者を詐欺サイトに誘導し、新たな情報窃取型マルウェアTamperedChefを配布するために、マルバタイジング(悪意ある広告)手法を利用したサイバー犯罪キャンペーンを発見しました。
「この攻撃の目的は、被害者をトロイの木馬化されたPDFエディタのダウンロードとインストールに誘導することです。このPDFエディタにはTamperedChefと呼ばれる情報窃取マルウェアが含まれています」とTruesecの研究者Mattias Wåhlén氏、Nicklas Keijser氏、Oscar Lejerbäck Wolf氏は水曜日に公開したレポートで述べています。「このマルウェアは認証情報やWebクッキーなどの機密データを収集するよう設計されています。」
このキャンペーンの中心には、AppSuite PDF Editorという無料PDFエディタのインストーラーを宣伝する複数の偽サイトの利用があります。インストールおよび起動後、ユーザーにはソフトウェアの利用規約およびプライバシーポリシーへの同意を求める画面が表示されます。
しかし裏では、セットアッププログラムが外部サーバーに密かにリクエストを送りPDFエディタプログラムをダウンロードすると同時に、Windowsレジストリを変更して永続化を設定し、ダウンロードした実行ファイルが再起動後に自動的に起動するようにします。レジストリキーにはバイナリに指示を渡すための–cm引数パラメータが含まれています。
同様にこの活動を分析したドイツのサイバーセキュリティ企業G DATAによると、これらのPDFエディタを提供する様々なウェブサイトは同じセットアップインストーラーをダウンロードさせ、ユーザーがライセンス契約に同意するとサーバーからPDFエディタプログラムをダウンロードするとのことです。
「その後、引数なしでメインアプリケーションを実行します。これは–installルーチンを開始するのと同じです」とセキュリティ研究者のKarsten Hahn氏とLouis Sorita氏は述べています。「また、次回の悪意あるアプリケーション実行時にコマンドライン引数–cm=–fullupdateを渡す自動起動エントリも作成します。」
このキャンペーンは2025年6月26日に開始されたとみられており、多くの偽サイトがこの日に登録されたか、少なくとも5つの異なるGoogle広告キャンペーンを通じてPDF編集ソフトの広告を開始しました。
「当初、このPDFはほとんど無害に振る舞っていたようですが、コードには–cm引数を含む.jsファイルで定期的にアップデートを確認する指示が含まれていました」と研究者は説明します。「2025年8月21日以降、コールバックしたマシンは悪意ある機能、すなわち’Tamperedchef’と呼ばれる情報窃取機能を有効化する指示を受け取りました。」
初期化されると、スティーラーはインストールされているセキュリティ製品のリストを収集し、認証情報やクッキーなどの機密データにアクセスするためにWebブラウザの終了を試みます。
G DATAによるマルウェア混入アプリケーションのさらなる分析により、これはバックドアとして機能し、以下のような複数の機能をサポートしていることが明らかになりました。
- –install:PDFEditorScheduledTaskおよびPDFEditorUScheduledTaskという名前のスケジュールタスクを作成し、それぞれ–cm=–partialupdateおよび–cm=–backupupdate引数でアプリケーションを実行し、–checkおよび–pingルーチンをトリガー
- –cleanup:アンインストーラーによって呼び出され、バックドアファイルの削除、マシンのサーバー登録解除、2つのスケジュールタスクの削除を実施
- –ping:コマンド&コントロール(C2)サーバーとの通信を開始し、追加マルウェアのダウンロード、データの持ち出し、レジストリ変更などのアクションを実行可能
- –check:C2サーバーに接続して設定を取得、ブラウザキーの読み取り、ブラウザ設定の変更、Chromium、OneLaunch、Waveブラウザに関連する認証情報、履歴、クッキー、カスタム検索エンジン設定などのデータを照会・持ち出し・操作する任意コマンドの実行
- –reboot:–checkと同様で、特定プロセスの強制終了機能も付加
「[広告]キャンペーン開始から悪意あるアップデートまでの期間は56日間で、これは典型的なGoogle広告キャンペーンの期間である60日に近く、攻撃者が広告キャンペーンを最大限活用しダウンロード数を増やした後、悪意ある機能を有効化したことを示唆しています」とTruesecは述べています。
この発表は、Expelによる分析とも一致しており、大規模な広告キャンペーンでPDFエディタが宣伝され、広告がユーザーをAppSuite、PDF OneStart、PDF Editorなどのツールのダウンロードを提供するウェブサイトに誘導していたことが詳述されています。場合によっては、これらのPDFプログラムがユーザーの同意なしに他のトロイの木馬化アプリをダウンロードしたり、ホストをリジデンシャルプロキシに変えたりしていることも判明しています。
「AppSuite PDF Editorは悪意があります」とG DATAは述べています。「これは典型的なバックドア付きトロイの木馬で、現在大量にダウンロードされています。」
翻訳元: https://thehackernews.com/2025/08/tamperedchef-malware-disguised-as-fake.html