Ciberseguridad 360 | Malware oculto en falsos editores PDF

Investigadores en ciberseguridad han descubierto una campa�a de ciberdelincuencia que utiliza trucos de publicidad maliciosa para dirigir a las v�ctimas a sitios fraudulentos con el fin de distribuir un nuevo programa de robo de informaci�n llamado TamperedChef.

"El objetivo es atraer a las v�ctimas para que descarguen e instalen un editor de PDF troyanizado, que incluye un malware para robar informaci�n denominado TamperedChef", afirmaron los investigadores de Truesec Mattias W�hl�n, Nicklas Keijser y Oscar Lejerb�ck Wolf en un informe publicado el mi�rcoles. "El malware est� dise�ado para recopilar datos confidenciales, incluidas credenciales y cookies web".

El n�cleo de la campa�a es el uso de varios sitios web falsos para promocionar un instalador de un editor de PDF gratuito llamado AppSuite PDF Editor que, una vez instalado y ejecutado, muestra al usuario un mensaje para que acepte los t�rminos de servicio y la pol�tica de privacidad del software.

Sin embargo, en segundo plano, el programa de instalaci�n realiza solicitudes encubiertas a un servidor externo para descargar el programa editor de PDF, al tiempo que configura la persistencia en el host realizando cambios en el Registro de Windows para garantizar que el ejecutable descargado se inicie autom�ticamente despu�s de reiniciar el sistema. La clave del registro contiene un par�metro de argumentos --cm para pasar instrucciones al binario.

La empresa alemana de ciberseguridad G DATA, que tambi�n analiz� la actividad, afirm� que los distintos sitios web que ofrecen estos editores de PDF descargan el mismo instalador, que a su vez descarga el programa editor de PDF del servidor una vez que el usuario acepta el acuerdo de licencia.

"A continuaci�n, ejecuta la aplicaci�n principal sin argumentos, lo que equivale a iniciar la rutina --install", explicaron los investigadores de seguridad Karsten Hahn y Louis Sorita. "Tambi�n crea una entrada de ejecuci�n autom�tica que proporciona el argumento de l�nea de comandos --cm=--fullupdate para la pr�xima ejecuci�n de la aplicaci�n maliciosa".

Se estima que la campa�a comenz� el 26 de junio de 2025, cuando muchos de los sitios falsos se registraron o comenzaron a anunciar el software de edici�n de PDF a trav�s de al menos cinco campa�as publicitarias diferentes de Google.

"Al principio, el PDF parec�a ser bastante inofensivo, pero el c�digo inclu�a instrucciones para comprobar peri�dicamente si hab�a posibles actualizaciones en un archivo .js que inclu�a los argumentos --cm", explicaron los investigadores. "A partir del 21 de agosto de 2025, los equipos que volv�an a llamar recib�an instrucciones que activaban las capacidades maliciosas, un ladr�n de informaci�n denominado �Tamperedchef�".

Una vez inicializado, el ladr�n recopila una lista de los productos de seguridad instalados e intenta cerrar los navegadores web para acceder a datos confidenciales, como credenciales y cookies.

Un an�lisis m�s detallado de la aplicaci�n infectada con malware realizado por G DATA ha revelado que act�a como puerta trasera y admite una serie de funciones:

--install, para crear tareas programadas denominadas PDFEditorScheduledTask y PDFEditorUScheduledTask que ejecutan la aplicaci�n con los argumentos --cm=--partialupdate y --cm=--backupupdate, respectivamente, para activar las rutinas --check y ?-ping
--cleanup, que es llamada por el desinstalador para eliminar los archivos de puerta trasera, dar de baja la m�quina del servidor y eliminar las dos tareas programadas
--ping, para iniciar las comunicaciones con un comando y control (C2) para las acciones que se ejecutar�n en el sistema, lo que, entre otras cosas, permite descargas adicionales de malware, exfiltraci�n de datos y cambios en el Registro
--check, para ponerse en contacto con el servidor C2 para la configuraci�n, leer las claves del navegador, alterar la configuraci�n del navegador y ejecutar comandos arbitrarios para consultar, exfiltrar y manipular datos asociados con los navegadores Chromium, OneLaunch y Wave, incluyendo credenciales, historial del navegador, cookies o configuraci�n de motores de b�squeda personalizados
--reboot, igual que --check, junto con capacidades para eliminar procesos espec�ficos

"El periodo transcurrido desde el inicio de la campa�a [publicitaria] hasta la actualizaci�n maliciosa tambi�n fue de 56 d�as, lo que se aproxima a los 60 d�as que suele durar una campa�a publicitaria t�pica de Google, lo que sugiere que el autor de la amenaza dej� que la campa�a publicitaria siguiera su curso, maximizando las descargas, antes de activar las funciones maliciosas", afirm� Truesec.

Las revelaciones coinciden con un an�lisis de Expel que detallaba una gran campa�a publicitaria de editores de PDF, en la que los anuncios dirig�an a los usuarios a sitios web que ofrec�an descargas de herramientas como AppSuite, PDF OneStart y PDF Editor. En algunos casos, se ha descubierto que estos programas PDF descargan otras aplicaciones troyanizadas sin el consentimiento de los usuarios o convierten los hosts en proxies residenciales.

"AppSuite PDF Editor es malicioso", afirm� G DATA. "Se trata de un troyano cl�sico con una puerta trasera que actualmente se descarga masivamente".

Fuente: thehackernews