Эксперты американской ИБ-компании Palo Alto Networks, считают, что вредоносных программ, которые маскируются под безобидные PDF-редакторы уже несколько лет действуют по всему миру и заразили тысячи устройств.

Palo Alto Networks обнаружила масштабную сеть вредоносных программ TamperedChef, которые маскируются под безобидные PDF-редакторы, архиваторы и другие «полезные» утилиты. За внешне обычными приложениями скрывались инструменты для кражи данных, удалённого доступа и скрытой установки дополнительного вредоносного ПО, пишет Securitylab.

Специалисты изучили более 4 тысяч образцов вредоносных файлов и свыше сотни вариантов программ, выдававших себя за легитимное ПО. Среди популярных приманок фигурировали Calendaromatic, CrystalPDF, AppSuite PDF, RocketPDFPro и OneZip. Распространяли такие приложения через рекламные объявления в поисковых системах и на сайтах, где пользователям обещали бесплатные инструменты для работы с документами, изображениями или архивами.

По данным компании, атаки затронули организации и частных пользователей по всему миру без явной географической привязки. В Palo Alto Networks считают, что популярность подобных схем продолжит расти, а злоумышленники будут всё активнее использовать рекламные платформы и генеративный ИИ для создания новых вредоносных кампаний.
Мнением о проблеме поделился Андрей Кузнецов, генеральный директор ООО "РуБэкап" (входит в "Группу Астра").

«Да, действительно, TamperedChef распространяется как поддельный PDF-редактор через malvertising и устанавливает стиллеры/инфостиллеры, следовательно заражённые рабочие станции могут передать компрометированные данные в бэкапы, если нет изоляции и контроля. Важно понимать, что надёжная система резервного копирования защищает от вредоносных кампаний, таких как TamperedChef, сочетанием неизменяемых копий, контролем целостности, разделением прав и процедур обнаружения и восстановлением», — говорит Андрей Кузнецов.