Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una nuova campagna malevola che sfrutta falsi editor PDF per diffondere un malware chiamato TamperedChef. Questa minaccia sfrutta tecniche di malvertising, ovvero annunci pubblicitari ingannevoli, per indirizzare gli utenti verso siti fraudolenti che offrono il download di software apparentemente legittimi, ma in realtà infetti.

Il vettore principale della campagna

I siti web creati ad hoc promuovono un editor PDF gratuito chiamato AppSuite PDF Editor. Una volta che l’utente installa il programma e accetta i termini d’uso, in background avviene l’installazione silente del malware TamperedChef. Il setup apporta modifiche al registro di sistema di Windows, garantendo la persistenza del malware anche dopo il riavvio e assicurando che il programma malevolo si avvii automaticamente.

Funzionamento del malware

Le ricerche hanno evidenziato che l’installer scaricato da diversi siti fraudolenti è sempre lo stesso e, una volta terminata la finta installazione, crea anche delle attività pianificate che permettono a TamperedChef di aggiornarsi, comunicare con server di comando e controllo (C2) e ricevere istruzioni per azioni dannose. Tra queste azioni rientrano il download di altro malware, l’esfiltrazione di dati sensibili, la modifica delle impostazioni di sistema e la manipolazione dei browser, compreso l’accesso a credenziali e cookie.

Evoluzione della campagna

La campagna ha avuto inizio il 26 giugno 2025, quando sono stati registrati numerosi domini e avviate almeno cinque campagne pubblicitarie Google per promuovere il software infetto. Inizialmente, il programma appariva innocuo, ma dal 21 agosto 2025 sono state attivate funzionalità malevole tramite aggiornamenti remoti che trasformano l’applicazione in un potente stealer di informazioni. TamperedChef è in grado di individuare i software di sicurezza presenti nel sistema, chiudere i browser per accederne ai dati sensibili e persino modificare configurazioni e motori di ricerca nei browser basati su Chromium, OneLaunch e Wave.

Comportamento e pericolosità

L’analisi del comportamento del malware mostra diverse routine, tra cui la creazione e la rimozione di attività pianificate, la comunicazione periodica con il server C2 e la capacità di eseguire comandi arbitrari. Queste caratteristiche rendono TamperedChef una backdoor estremamente pericolosa, capace di trasformare i computer infetti anche in proxy residenziali o di scaricare ulteriori applicazioni trojan senza il consenso dell’utente.

AppSuite PDF Editor si è quindi rivelato un classico cavallo di Troia: un software apparentemente utile che nasconde funzionalità malevole e mette in serio pericolo la sicurezza dei dati e delle credenziali degli utenti Windows.