Pesquisadores de segurança cibernética da TrueSec descobriram uma sofisticada campanha de malware distribuindo um editor de PDF armado sob o disfarce de “Appsuite PDF Editor”.
Esta operação, que começou em 26 de junho de 2025, envolve vários sites que promovem o software como uma ferramenta de utilitário gratuita, sobrepondo -se às descobertas da Expel em ameaças semelhantes como o ManualFinder.
O executável malicioso, editor em pdf.exe, exibe obfusão forte potencialmente gerada por IA ou modelos de linguagem grandes, com os principais hashes, incluindo MD5 6FD6C053F8FCF345EFAA04F16AC0BFFE, SHA1 2ECD25269173890E04FEA1APFFE, CB15E1EC1A472631C53378D54F2043BA57586E3A28329C9DBF40CB69D7C10D2C.
Táticas de distribuição
Após a execução, o instalador solicita um EULA, inicia uma solicitação HTTP GET para hxxp: //inst.produtivity-tools.ai/status/installstart? V = 1.0.28.0 & p = pdfeditor & code = en-us para sinalizar e baixar a carga central da principal do núcleo da carga da principal do núcleo de hxxp: //vault.appsuuses.ai/appsuesues-pdf-1.0.28.exe.
A conclusão desencadeia solicitações adicionais para confirmar a instalação, estabelecendo persistência por meio de uma chave de registro em hkey_current_user software microsoft windows currentversion run com argumentos como –cm para controle comportamental.
Inicialmente aparecendo benigno, o software incluiu mecanismos para pesquisar atualizações por meio de um arquivo .js, observado primeiro nos envios do VirustSoTotal já em 15 de maio de 2025.
No entanto, a partir de 21 de agosto de 2025, os sistemas infectados receberam comandos ativando o The TiperedChef Infotealeradicionando uma nova entrada de registro para PDFeditorUpDater com –CM = –FulLupdate.
This loads an obfuscated payload into /resources/app/w-electron/bun/releases/pdfeditor.js, enabling various –cm arguments such as –install, –enableupdate, –disableupdate, –fullupdate, –partialupdate, –backupupdate, –check, –ping, and –reboot.
Uma vez ativado, o TIMPEREDCHEF emprega DPAPI para consultar bancos de dados do navegador para dados confidenciais, digitaliza produtos de segurança e encerrar processos do navegador para acessar informações bloqueadas, como credenciais de login.
A campanha aproveita Google anúncios Para promoção, com o tráfego revelando pelo menos cinco IDs de campanha e referenciadores, indicando um alcance amplo.
Abrangendo 56 dias antes da ativação maliciosa alinhando-se de perto com os ciclos típicos de anúncios de 60 dias, os atores de ameaças maximizavam downloads antes de armar a ferramenta.
As assinaturas digitais sobre variantes vêm de certificados duvidosos emitidos para entidades como Echo Infini Sdn Bhd, Glint by J Sdn.
BHD e Summit Nexus Holdings LLC, BHD, com o site da Echo Infini aparecendo genericamente gerados e endereços de compartilhamento com outras empresas suspeitas.
Os laços adicionais vinculam isso à mídia de bytes, cujos certificados assinaram malware não relacionado como o Epibrowser.
História do ator de ameaças
As investigações rastreiam as atividades do ator de volta a pelo menos agosto de 2024, envolvendo programas potencialmente indesejados (filhotes) como o OneStart e o Epibrowser Navegador, agrupados com código malicioso que entrava em contato com os mesmos domínios C2 que o tamperedchef.
Amostras de onestart exibem comportamentos semelhantes, sugerindo um padrão de disfarces de malware como ferramentas de utilitário.
Em algumas instalações, um binário elevate.exe recompilado do código de código aberto de Johannes que passa e assinado por Echo Infini aparece ao lado do editor de PDF, potencialmente para futuras escaladas de privilégios, embora nenhuma execução tenha sido observada.
Essa escalada destaca as táticas em evolução do ator, afetando organizações na Europa por meio de downloads de funcionários.
De acordo com o relatórioTrueSec enfatiza o software de verificação de fontes desconhecidas, pois as ferramentas benignas podem rapidamente se tornar maliciosas. O Google respondeu útil aos relatórios, instando as notificações aos certificados locais e à empresa por ameaças semelhantes.
A campanha ressalta os riscos na distribuição de software orientada por anúncios, com variantes em andamento que tornam o hash não exaustivo.
Indicadores de compromisso (COI)
| Categoria | Exemplos |
|---|---|
| Hosting domínios | Apdft.net, mypdfonestart.com, ltdpdf.com, pdfreplace.com, appsuites.ai |
| Domínios C2 | y2iax5.com, abf26u.com, mka3e8.com, 5b7crp.com |
| SHA256 HASHES | DA3C6EC20A006EC4B289A90488F824F0F72098A2F5C2D3F37D7A2D4A83B344A0 (Editor PDF), 189B0BA8C61740D5AD1C802649718958A86F5B7A8C8E795DC2E990909A9AB88A (Elevate), abbb3e96b910c9d1e2074dc05fd51e78984941f03bcb7d443714838849a7a928 (editor de pdf), 2E4DE114AD10967F1807F317F476290DC0045BDFA93955553D1B443EF9F905018 (Epibrowser) |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!