Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una nuova campagna malevola: TamperedChef, un’operazione sofisticata che ha sfruttato una strategia pubblicitaria ingannevole (malvertising) e un’applicazione esca apparentemente legittima per colpire organizzazioni europee.
Mascherata come un normale editor PDF, il malware ha funzionato apparentemente in modo legittimo per quasi due mesi prima di attivare il payload malevolo per la raccolta delle credenziali dei browser.
Questa campagna dimostra che anche realtà ben strutturate possono essere compromesse da software dall’aspetto innocuo. Le conseguenze sono gravi: furto di credenziali, possibile accesso backdoor e necessità di un intervento di bonifica completo.

Che cos’è “AppSuite PDF Editor” e come è stato distribuito

Il percorso d’infezione comincia quando un utente, in cerca di un editor PDF gratuito, clicca su un annuncio malevolo. Questo lo reindirizza a un sito controllato dagli autori del malware, da cui viene scaricato un pacchetto MSI (Microsoft Windows Installer).

L’MSI presenta un modulo di accettazione del contratto di licenza (EULA), che contribuisce a dare un’aria legittima al programma e a sfuggire ad alcuni controlli automatici nelle sandbox. Una volta accettato, l’installer scarica contenuti da vault.appsuites.ai, installa l’applicazione sotto %USERPROFILE% e crea una persistenza tramite registro (autorun), senza richiedere permessi da amministratore — una modalità che lo rende efficace anche in ambienti con restrizioni sui privilegi.

L’app è stata sviluppata utilizzando NodeJS; il suo eseguibile principale (PDF Editor.exe) funziona come un browser completo basato su Chromium, eseguendo JavaScript integrato e scaricando contenuti da server remoti. I componenti principali sono:

• pdfeditor.js: il principale file JavaScript fortemente offuscato, responsabile sia dell’interfaccia utente limitata che dell’attività dannosa.
• Utilityaddon.node: un modulo nativo (DLL x64) che consente operazioni su registro, task schedulati e altre funzioni di sistema.

L’attivazione del payload

Il payload nascosto in pdfeditor.js è stato attivato il 21 agosto 2025, momento in cui ha iniziato a sottrarre credenziali dai browser. Subito dopo, gli autori del malware hanno pubblicato versioni “pulite” dell’app (1.0.40 e 1.0.41), rimuovendo il codice malevolo e l’offuscamento. Tuttavia, l’app continuava a comunicare con infrastrutture controllate dagli attaccanti, ricevendo istruzioni per azioni dannose, come download di altro malware, esfiltrazione di dati sensibili, accesso a credenziali e cookie.

Una volta scoperta l’intenzione malevole dell’app, questa è stata bloccata e resa inefficace. Tuttavia, gli hacker hanno rapidamente cambiato strategia e, sulla base dei modelli di sviluppo osservati nelle campagne precedenti, hanno iniziato a sviluppare un’altra applicazione denominata S3-Forge, che riprende il concetto di editor PDF, con interfaccia simile e codice parzialmente condiviso. S3-Forge non è ancora dotato di codice malevolo attivo, ma gli artefatti suggeriscono che il progetto è in fase sperimentale, preparandosi a future campagne sofisticate. Al momento non è ancora chiara la strategia dell’autore della minaccia. Il nome “S3” potrebbe riferirsi a un modello di automobile, ma è più probabile che sia un riferimento al cloud storage di Amazon Web Services (AWS), il che suggerisce un possibile spostamento dell’obiettivo verso gli sviluppatori di software.

Implicazioni, raccomandazioni e misure difensive

La campagna TamperedChef dimostra un elevato livello di pianificazione: uso di firme digitali legittime, applicazioni credibili, pubblicità mirata. L’impatto è considerevole: chiunque abbia installato AppSuite PDF Editor deve presumere che le credenziali memorizzate nel proprio browser siano state compromesse. Dato il successo della campagna, è probabile che gli autori dell’attacco tentino tattiche simili in futuro e che altri autori di minacce seguano il loro esempio.

Cosa fare subito:

• Evitare di installare software da annunci pubblicitari non verificati
• In ambienti aziendali, consentire solo applicazioni preautorizzate
• Modificare le credenziali degli utenti potenzialmente esposti
• Disabilitare, dove possibile, la memorizzazione delle password nei browser
• Promuovere l’uso di password manager gestiti dalle policy aziendali

I prodotti WithSecure offrono una protezione completa contro minacce come TamperedChef, combinando analisi comportamentale avanzata, rilevamento in tempo reale e threat intelligence costantemente aggiornata. Grazie all’integrazione tra endpoint protection, network security e servizi di risposta gestita, le soluzioni WithSecure consentono di intercettare attività sospette prima che possano compromettere la rete aziendale, rappresentando un elemento chiave per garantire la continuità operativa e la sicurezza digitale delle organizzazioni.

Affidati a un partner certificato: contattaci al numero 035 4397063 – interno 3 o all’indirizzo commerciale@proximalab.it per avere un preventivo sulle soluzioni WithSecure.

Fonte: https://www.withsecure.com/