Skontaktuj się z nami
Malware Cyberbezpieczeństwo

TamperedChef atakuje Europę. Jak fałszywy PDF infekuje organizacje?

Avinash Shet
Placeholder for Avinash shetAvinash shet

Avinash Shet , SOC Delivery Lead , Nomios Holandia

Do przeczytania w 1 min.
Placeholder for TamperedChef malware fake PDF editorTamperedChef malware fake PDF editor

Share

Nowa kampania złośliwego oprogramowania, TamperedChef, atakuje europejskie organizacje za pomocą fałszywego edytora plików PDF o nazwie AppSuite PDF Editor. Rozpowszechniane za pośrednictwem fałszywych stron internetowych i promowane w ramach kampanii Google Ads, to złośliwe oprogramowanie służące do kradzieży danych uwierzytelniających stanowi poważne zagrożenie dla przedsiębiorstw z wielu sektorów.

Jak działa TamperedChef

Atakujący utworzyli wiele fałszywych stron internetowych w celu rozpowszechniania fałszywego narzędzia PDF. Po zainstalowaniu złośliwe oprogramowanie pozostaje w stanie uśpienia przez około 56 dni, co odpowiada typowemu czasowi trwania kampanii Google Ads. Opóźnienie to pomaga mu uniknąć wykrycia podczas wczesnych kontroli bezpieczeństwa.

Po aktywacji TamperedChef:

  • Tworzy trwałość w systemie, wykorzystując wpisy w Rejestrze systemu Windows i zaplanowane zadania.
  • Kradnie dane uwierzytelniające z przeglądarek, pliki cookie sesji i poufne dane, zamykając procesy przeglądarek i wykorzystując (eksploatując) DPAPI.
  • Przeprowadza rozpoznanie systemu w celu zidentyfikowania zainstalowanych rozwiązań zabezpieczających.
  • Działa jako backdoor do dostarczania przyszłych ładunków.

Dlaczego to ma tak istotne znaczenie

Potwierdzone przypadki infekcji miały już wpływ na przedsiębiorstwa w Europie. Długi okres uśpienia złośliwego oprogramowania pozwala atakującym przejąć kontrolę i poruszać się po sieci bez wykrycia. Zaawansowane techniki maskowania sprawiają, że wykrycie tego oprogramowania przez tradycyjne narzędzia antywirusowe jest niezwykle trudne.

Natychmiastowe działania mające na celu zmniejszenie ryzyka

Aby zmniejszyć ryzyko infekcji, należy natychmiast podjąć następujące kroki:

  1. Blokuj lub monitoruj pobieranie programu AppSuite PDF Editor i podobnych narzędzi z niezweryfikowanych źródeł.
  2. Ostrzegaj pracowników, zwłaszcza tych, którzy często pobierają oprogramowanie z zewnętrznych źródeł, o ryzyku związanym z fałszywymi edytorami plików PDF.
  3. Dodaj wykrywanie wskaźników trwałości, takich jak nietypowe wpisy w rejestrze lub zaplanowane zadania odwołujące się do PDFEditorUpdater.
  4. Użyj narzędzi do wykrywania zachowań (EDR, Sysmon), żeby zaznaczyć:
    • Wpisy automatycznego uruchamiania rejestru.
    • Wymuszone zamknięcie przeglądarek i prób dostępu DPAPI.
    • Podejrzane połączenia wychodzące z sieci.
  5. Wprowadź listę aplikacji dopuszczonych do użycia i surowe zasady instalacji narzędzi innych producentów.
  6. Podejrzane działania należy niezwłocznie zgłaszać zespołowi ds. bezpieczeństwa IT.

Jak Nomios może pomóc

Nomios wspiera organizacje w obronie przed zaawansowanymi zagrożeniami, takimi jak TamperedChef, oferując rozwiązania w zakresie cyberbezpieczeństwa i usługi zarządzane. Nasza usługa zarządzanego wykrywania i reagowania (MDR) zapewnia całodobowy monitoring, zaawansowane wykrywanie zagrożeń i szybką reakcję na incydenty. Oferujemy również zabezpieczenia punktów końcowych, wdrażanie EDR oraz programy podnoszenia świadomości w zakresie bezpieczeństwa, aby zminimalizować ryzyko infekcji złośliwym oprogramowaniem.

Jeśli chcesz wzmocnić swoje zabezpieczenia przed kampaniami takimi jak TamperedChef, skontaktuj się z naszymi ekspertami już dziś.

Skontaktuj się z nami

Chcesz dowiedzieć się więcej na ten temat?

Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.

Zadzwoń teraz
Placeholder for Portrait of french manPortrait of french man
Updates

Więcej aktualizacji

Placeholder for Headway jf R5wu2h MI0 unsplashHeadway jf R5wu2h MI0 unsplash
Juniper Networks

Network Management Mist AI

Przeciążony zespół sieciowy? 3 sygnały, że czas na wsparcie

Zespoły IT często znajdują się pod presją. Aż 85,8% organizacji boryka się z niedoborem wykwalifikowanego personelu IT. Niedobór kadr w połączeniu z rosnącą złożonością nowoczesnych sieci powoduje stały wzrost obciążenia pracą.

Michel Adelaar
Placeholder for Michel AdelaarMichel Adelaar

Michel Adelaar

Do przeczytania w 5 min.
Placeholder for Offshore windmill parkOffshore windmill park

Bezpieczeństwo technologii operacyjnych

Dlaczego bezpieczeństwo OT ma kluczowe znaczenie dla energetyki i przemysłu

Chroń systemy OT w branży paliwowej i energetycznej przed oprogramowaniem ransomware, zagrożeniami wewnętrznymi i zaawansowanymi zagrożeniami typu APT dzięki specjalnie zaprojektowanym rozwiązaniom z zakresu cyberbezpieczeństwa dla infrastruktury krytycznej.

Ahmed Mahmoud
Placeholder for Ahmed MahmoudAhmed Mahmoud

Ahmed Mahmoud

Do przeczytania w 6 min.
Placeholder for Cybersecurity engineer female desktop computerCybersecurity engineer female desktop computer

Cyberataki

Nowoczesne Ransomware w 2025: Zaciemniony Kod i Ataki Bezplikowe

Odkryj zaawansowane techniki nowoczesnego ransomware: zaciemniony kod, ataki bezplikowe i polimorfizm. Chroń swoją organizację dzięki nowoczesnemu SOC24 od Nomios.

Romain Quinat
Placeholder for Romain QuinatRomain Quinat

Romain Quinat

Do przeczytania w 5 min.
 Wszystkie artykuły