كشف باحثون في الأمن السيبراني عن حملة إجرامية جديدة تستغل تقنيات الإعلانات المضللة لتوجيه الضحايا نحو مواقع مزيفة، بهدف نشر برمجية جديدة لسرقة المعلومات تُعرف باسم TamperedChef.
ووفقاً لتقرير شركة Truesec، فإن الهدف من الهجوم هو إقناع المستخدمين بتحميل محرر ملفات PDF مزيف يحمل اسم AppSuite PDF Editor، والذي يتضمن في داخله البرمجية الخبيثة المصممة لسرقة البيانات الحساسة مثل بيانات تسجيل الدخول وملفات تعريف الارتباط الخاصة بالمتصفحات.
آلية عمل البرنامج الخبيث
تعتمد الحملة على عدة مواقع مزيفة تروّج لأداة تحرير ملفات PDF مجانية، حيث يطلب البرنامج من المستخدمين الموافقة على شروط الخدمة وسياسة الخصوصية. وفي الخلفية يقوم المُثبّت بالاتصال بخادم خارجي لتحميل البرنامج، مع إجراء تعديلات في سجل نظام ويندوز تضمن تشغيل الملف الضار تلقائياً بعد إعادة التشغيل.
وأشارت شركة G DATA الألمانية المتخصصة في الأمن السيبراني إلى أن جميع المواقع المروجة للبرنامج توزع نفس مُثبّت الإعداد، والذي يقوم لاحقاً بتحميل البرنامج من الخادم بمجرد موافقة المستخدم على اتفاقية الترخيص، ثم يُنشئ مدخل تشغيل تلقائي يحتوي على أوامر (–cm=–fullupdate) لتشغيل التطبيق الخبيث في المرات التالية.
تطور الحملة وتفعيل البرمجية
تُرجّح التحقيقات أن الحملة بدأت في 26 يونيو 2025، حيث تم تسجيل العديد من المواقع المزيفة والترويج للبرامج من خلال خمس حملات إعلانية على جوجل. في البداية بدا البرنامج غير مؤذٍ، لكنه كان يحتوي على تعليمات خفية للتحقق دورياً من تحديثات عبر ملف JavaScript. وفي 21 أغسطس 2025 بدأت الأجهزة المصابة في تلقي أوامر فعّلت قدرات البرمجية الخبيثة TamperedChef.
وبمجرد تفعيلها، تقوم البرمجية بجمع قائمة بالبرامج الأمنية المثبتة، ومحاولة إيقاف المتصفحات لسرقة بيانات الاعتماد وملفات تعريف الارتباط.
قدرات خلفية واستغلال عميق للنظام
أظهر التحليل أن التطبيق المزيف يعمل كباب خلفي يدعم عدة أوامر، منها:
-
install– لإنشاء مهام مجدولة لتشغيل التحديثات الجزئية أو عمليات النسخ الاحتياطي.
-
cleanup– لحذف الملفات الخبيثة وإلغاء تسجيل الجهاز من الخادم.
-
ping– للتواصل مع خادم القيادة والسيطرة (C2) لتنفيذ أوامر إضافية تشمل تنزيل برمجيات أخرى وسرقة بيانات النظام.
-
check– للحصول على الإعدادات من الخادم، قراءة مفاتيح المتصفح، تعديل الإعدادات، وتنفيذ أوامر تستهدف متصفحات مثل Chromium وOneLaunch وWave لسرقة كلمات المرور والسجل وملفات تعريف الارتباط.
-
reboot– لإعادة التشغيل مع قدرات إضافية لإيقاف بعض العمليات.
تهديد واسع النطاق
تشير تقديرات الباحثين إلى أن المهاجمين تركوا الحملة الإعلانية تعمل حتى نهايتها الطبيعية تقريباً، والتي تمتد عادةً 60 يوماً، قبل تفعيل البرمجية الخبيثة بهدف تحقيق أكبر عدد ممكن من التنزيلات.
وبحسب شركة G DATA فإن محرر AppSuite PDF Editor ليس سوى حصان طروادة كلاسيكي مزود بباب خلفي، ويتم حالياً تحميله على نطاق واسع مما يشكل تهديداً بالغاً لسلامة المستخدمين.
