كشف باحثو الأمن السيبراني عن حملة إجرامية رقمية جديدة تستغل تقنيات الإعلانات الخبيثة (Malvertising) لتوجيه الضحايا نحو مواقع مزيفة تهدف إلى تنزيل برمجية خبيثة جديدة تُعرف باسم TamperedChef. تهدف هذه البرمجية إلى سرقة البيانات الحساسة مثل كلمات المرور وملفات تعريف الارتباط الخاصة بالمتصفحات.
آلية الهجوم
بحسب تقرير نشره باحثو شركة Truesec، فإن المهاجمين يعرضون نسخة مزيفة من محرر PDF يُدعى AppSuite PDF Editor. عند تثبيت البرنامج، يظهر للمستخدم نافذة اتفاقية الاستخدام وسياسة الخصوصية، إلا أن البرنامج في الخلفية يقوم بما يلي: إنشاء اتصال بخادم خارجي لتنزيل نسخة البرنامج، تعديل سجل نظام ويندوز (Windows Registry) لضمان التشغيل التلقائي بعد إعادة التشغيل، وتمرير معاملات --cm لإرسال تعليمات إلى الملف التنفيذي.
تفاصيل تقنية
أشارت شركة الأمن الألمانية G DATA إلى أن جميع المواقع المزيفة توزّع نفس المثبت، والذي يقوم بالخطوات التالية بعد قبول الاتفاقية: تشغيل التطبيق الرئيسي بدون معاملات إضافية (مكافئ لـ --install). إنشاء إدخال تلقائي للتشغيل (Autorun) يتضمن الأمر:
وذلك لضمان تفعيل المهام الخبيثة في التشغيل القادم. كما أوضح الباحثان Karsten Hahn و Louis Sorita أن التطبيق يقوم بإنشاء مهام مجدولة (Scheduled Tasks) مثل:
مع معاملات:
القدرات الخبيثة للبرمجية
التحليل بيّن أن التطبيق المزيف يعمل كحصان طروادة (Trojan Horse) ويحتوي على باب خلفي (Backdoor) بقدرات تشمل:
-
--install: إنشاء مهام مجدولة خبيثة. -
--cleanup: إزالة الملفات الخبيثة وإلغاء تسجيل الجهاز. -
--ping: التواصل مع خادم التحكم (C2) لتنفيذ أوامر مثل تنزيل برمجيات إضافية أو سرقة البيانات. -
--check: قراءة إعدادات المتصفحات مثل Chromium و OneLaunch و Wave، وسرقة كلمات المرور وملفات تعريف الارتباط. -
--reboot: مشابه لـ--checkمع القدرة على إيقاف بعض العمليات.
بداية الحملة
أفاد الباحثون أن هذه الحملة بدأت في 26 يونيو 2025، حيث تم تسجيل العديد من المواقع المزيفة وإطلاق حملات إعلانية عبر Google Ads. وفي البداية كان البرنامج يبدو غير مؤذٍ، لكنه ابتداءً من 21 أغسطس 2025 بدأ في تفعيل القدرات الخبيثة وتحويل الأجهزة المصابة إلى أدوات لسرقة البيانات أو حتى بروكسيات سكنية (Residential Proxies).
خلص الباحثون إلى أن AppSuite PDF Editor ليس إلا أداة مزيفة تهدف إلى خداع المستخدمين وتثبيت برمجية TamperedChef، والتي تُعد تهديدًا خطيرًا للأمن السيبراني لأنها تستغل الإعلانات الممولة للوصول إلى أكبر عدد من الضحايا، وتمتلك قدرات متقدمة في سرقة البيانات والتلاعب بالمتصفحات، وتتحكم بالأجهزة المصابة عن بعد عبر خوادم C2.
