假PDF編輯器藏惡意軟體TamperedChef，靠Google廣告擴散竊憑證

資安業者Truesec揭露一波大規模惡意軟體散布行動，攻擊者透過Google廣告導流至多個詐騙網站，推廣名為AppSuite PDF Editor的免費工具，藉此誘使用戶下載被植入竊資軟體TamperedChef的安裝檔。這個程式初期表現如同一般PDF編輯器，但在特定時間後，攻擊者會以遠端指令啟用惡意功能，專門竊取瀏覽器憑證與Cookie。Truesec指出，目前已有多家歐洲組織受到影響。

研究人員調查顯示，PDF Editor安裝檔最早在5月15日出現在VirusTotal，相關網站與網域自6月26日陸續註冊並開始推廣。一直到8月21日，部分受害機器開始接收到指令，觸發程式的惡意功能。這段期間間隔約56天，接近Google廣告常見的60天投放周期，研究人員認為，攻擊者刻意利用廣告平臺先累積安裝量，再切換為惡意模式，擴大影響範圍。

完成安裝後，偽裝的PDF編輯器會與遠端伺服器保持通訊，並在系統內建立持久化機制，確保每次開機都能啟動。初期行為正常，但在遠端指令觸發後，才會下載額外元件並展開竊資行動。

一旦惡意功能被啟用，TamperedChef會檢測系統的安全軟體，隨後關閉使用中的瀏覽器，藉此存取原本被鎖定的資料。透過Windows的DPAPI，TamperedChef能直接讀取瀏覽器資料庫中的憑證與Cookie，進而取得帳號登入資訊。研究人員同時發現，攻擊者使用多家公司的數位簽章為安裝檔背書，不少公司網站內容單調缺乏真實性，且有多家公司登記於同一地址可信度低。

相關威脅活動可回溯至2024年，並與OneStart、Epibrowser等工具的推廣活動有關，部分樣本使用相同C2網域，可能是同一攻擊者持續演進的作法。在部分案例中，安裝過程還會額外投放名為elevate.exe的檔案，該檔與開源提權工具功能相同，目前尚未觀察到實際運作，可能在為後續攻擊做準備。

研究人員提醒，這類延遲啟用的假工具難以僅靠IOC攔截，必須從行為特徵著手偵測。企業可透過AppLocker或同類白名單機制，限制使用者目錄下可執行檔的落地與自動啟動，並導入AdBlocker降低惡意廣告風險。