En nuestro análisis constante del panorama de ciberseguridad, hemos identificado una sofisticada campaña de ciberataques donde actores maliciosos explotan la confianza en la publicidad de Google para distribuir software malicioso. A través de una red de más de cincuenta dominios, promueven una aplicación de edición de PDF aparentemente legítima. La cual, en realidad, actúa como un vehículo para el malware TamperedChef.
La operación destaca por su meticulosa planificación. Los atacantes no solo utilizan certificados de firma de código fraudulentos, emitidos por al menos cuatro empresas distintas, para dar una falsa apariencia de legitimidad a sus aplicaciones. También despliegan una estrategia de activación retardada.
Esta táctica les permite maximizar el número de instalaciones antes de que se revele la verdadera naturaleza del software. Eludiendo así las detecciones iniciales y asegurando una base de víctimas más amplia.
Tabla de Contenidos
El engaño paciente: cómo opera el malware TamperedChef
La investigación técnica, liderada por la firma de ciberseguridad Truesec, revela que el principal vector de ataque es una herramienta gratuita llamada AppSuite PDF Editor. Aunque los sitios web que la promocionan comenzaron a operar masivamente alrededor del 26 de junio, hemos encontrado registros que sitúan la verificación de la aplicación maliciosa en servicios como VirusTotal desde el 15 de mayo. Este lapso demuestra una fase de preparación calculada.
Durante semanas, el programa funcionó como una herramienta inofensiva. No fue hasta el 21 de agosto cuando una actualización, ejecutada con el argumento -fullupdate, desató sus capacidades maliciosas. En ese momento, el malware TamperedChef se activa para recopilar datos sensibles.
El infostealer realiza un escaneo del sistema en busca de agentes de seguridad y procede a consultar las bases de datos de los navegadores web instalados. Para descifrar la información almacenada, utiliza la API de Protección de Datos de Windows (DPAPI), un componente diseñado precisamente para proteger credenciales, cookies y otros datos privados.
La estrategia de los atacantes demostró una paciencia calculada: permitieron que las aplicaciones se distribuyeran masivamente como herramientas legítimas, activando su carga maliciosa solo cuatro días antes de que expirara el periodo típico de 60 días de una campaña publicitaria en Google. Este movimiento maximizó su alcance minimizando el riesgo de ser detectados prematuramente.
Más allá del robo de datos: la red de proxies residenciales
Sin embargo, el alcance de esta operación del malware TamperedChef va más allá del simple robo de información. Hemos observado que sus responsables han estado activos al menos desde agosto de 2024, promoviendo otras herramientas como los navegadores OneStart y Epibrowser. Estas aplicaciones forman parte de un ecosistema interconectado capaz de descargarse mutuamente.
Análisis de la firma Expel confirman que programas como AppSuite PDF Editor, ManualFinder y OneStart no solo instalan archivos sospechosos, sino que convierten los dispositivos de las víctimas en proxies residenciales. Esto significa que el tráfico de internet de terceros es redirigido a través del equipo del usuario infectado, a menudo para actividades ilícitas, a cambio de un supuesto uso gratuito de la herramienta.
En algunos casos, la aplicación solicita explícitamente permiso para esta función, enmascarando una actividad de alto riesgo como una condición de servicio.
Es plausible que los operadores de la campaña actúen como afiliados de un proveedor de redes de proxy legítimo. Capitalizando así una segunda vía de monetización a costa de la seguridad y los recursos del usuario. Aunque los certificados de firma de código ya han sido revocados, cualquier sistema con estas aplicaciones instaladas sigue en grave peligro.
Un ecosistema de amenazas en constante evolución
Lo que enfrentamos no es un ataque aislado, sino una operación multifacética y bien orquestada. El comportamiento de estos programas, aunque a veces catalogados como Potencialmente No Deseados (PUP), exhibe capacidades propias de malware en toda regla. La capacidad de ejecutar comandos de forma subrepticia y la interconexión entre las distintas aplicaciones sugieren que existen más componentes de este ecosistema aún por activar.
Advertimos que otras aplicaciones de esta red, que hoy parecen inofensivas, podrían ser «weaponizadas» en cualquier momento. La protección eficaz exige una desconfianza proactiva hacia el software promovido por vías no oficiales. Incluso cuando parecen venir de fuentes tan confiables como los anuncios de Google.
1
0
Average Rating