安全专家警告称,黑客正通过多达五十余个钓鱼网站,以Google广告推广冒牌PDF编辑工具,诱骗用户下载并感染名为TamperedChef的信息窃取型恶意软件。这些虚假PDF编辑器如AppSuite PDF Editor,在最初安装时表现为正常软件,但待广告推广期结束后,黑客通过后续更新激活后门模块,窃取登录凭证和浏览器Cookies等敏感数据。
据安全公司Truesec技术分析,TamperedChef会检测受害计算机中的安全防护工具,并利用Windows的DPAPI组件尝试解密和盗取存储于浏览器内的机密信息。调查显示,该清洗操作于8月21日前后大规模发动,且幕后黑手非常有策略地选在广告激活周期结束前数日推送危害最大的一次更新,以扩大感染范围。
专家同时指出,嫌疑团体通过至少四家企业伪造的数字签名,为恶意程序提供伪装,增加受害者下载和执行的可信度。用户如有下载类似PDF工具的历史,应立即检查系统安全状态,及时清除潜在威胁。