TamperedChef Stealer

サイバーセキュリティ研究者らは、偽のオンライン広告を利用して「TamperedChef」と呼ばれる新たな情報窃取ツールを拡散する悪質なキャンペーンを発見しました。このキャンペーンは、マルバタイジング（悪意のある広告）を利用してユーザーを詐欺サイトに誘導し、トロイの木馬化されたPDFエディターをダウンロードさせるものです。

トロイの木馬化されたPDFエディターが誘惑の道具に

AppSuite PDF Editorとして宣伝されているこの偽ソフトウェアは、ユーザーを騙して正規のツールを装ったものをインストールさせます。インストール中に利用規約が表示され、正規のツールであるかのような錯覚を与えます。しかし、裏ではインストーラーが密かにリモートサーバーに接続し、エディターアプリケーションをドロップすると同時にWindowsレジストリを書き換えて永続化を図ります。

インストーラーは、レジストリにコマンドライン引数（--cm）を埋め込むことで、再起動後にプログラムが自動的に起動するようにします。これらの引数により、マルウェアは様々な悪意のあるルーチンを実行するための指示を受け取ることができます。

攻撃のタイムライン

調査によると、このキャンペーンは2025年6月26日に開始され、複数の偽造サイトの登録と、PDFエディターを宣伝する少なくとも5つのGoogle広告キャンペーンの開始と同時期に開始されたようです。当初、このプログラムは脅威ではないように見えましたが、実際にはリモートサーバーからの更新を繰り返し確認するように設計されていました。

約2か月後の2025年8月21日、感染したマシンはTamperedChefの悪意のあるペイロードを起動する命令を受信し始めました。この段階的なアプローチにより、攻撃者はマルウェアを有効にする前に被害者の数を最大化することができました。

TamperedChefの悪意ある機能

TamperedChef は起動すると、インストールされているセキュリティツールを特定し、Web ブラウザを強制的にシャットダウンすることで偵察活動を行います。これにより、保存されている認証情報や Cookie などの機密データへのアクセスが可能になります。

さらに分析を進めたところ、マルウェアが仕込まれたエディタは、複数のコマンドラインオプションを備えたバックドアとしても機能することが判明しました。これらのオプションにより、永続化、クリーンアップ、コマンドアンドコントロール（C2）サーバーとの通信、ブラウザデータの操作が可能になります。

特定された主な機能:

--install: 更新およびバックアップ引数を使用して実行され、チェックおよび ping 操作をトリガーするスケジュールされたタスク (PDFEditorScheduledTask、PDFEditorUScheduledTask) を作成します。

--cleanup: アンインストーラーによって実行され、バックドア コンポーネントを消去し、ホストを登録解除し、スケジュールされたタスクを削除します。

--ping: C2 通信を確立して、さらなるマルウェアのダウンロード、レジストリの変更、データの流出に関する指示を受信します。

--check: 構成の更新のために C2 に接続し、資格情報を盗み、ブラウザ キーを読み取り、Chromium、OneLaunch、Wave ブラウザを変更します。

--reboot: --check と似ていますが、特定のプロセスを終了することもできます。

広告キャンペーンの戦略的悪用

攻撃者のタイミングの選択は注目に値します。キャンペーン開始から悪意のある活動開始までの56日間という遅延は、Google広告キャンペーンの典型的な60日間の存続期間とほぼ一致しています。これは、脅威アクターがTamperedChefの機能をフルに発揮する前に、広告を意図的に最後まで実行させ、露出とダウンロード数を最大化しようとしたことを示唆しています。