Uma sofisticada operação de malvertising, batizada de TamperedChef, foi desmascarada pela equipe de Managed Detection and Response (MDR) da Sophos. A campanha, possivelmente vinculada ao grupo EvilAI, utiliza anúncios patrocinados no Google e Bing para atrair usuários de setores técnicos para o download de um editor de PDF trojanizado, resultando no roubo massivo de credenciais e dados sensíveis.
A análise da Sophos revela que o ataque é meticulosamente planejado para burlar defesas. Tudo começa quando a vítima busca por manuais de equipamentos ou softwares de edição de PDF. Os criminosos utilizam técnicas de SEO poisoning e anúncios pagos para posicionar sites falsos, como o fullpdf[.]com, no topo dos resultados.
Ao baixar o suposto AppSuite PDF Editor, o usuário instala, sem saber, um malware que permanece dormente por exatos 56 dias. Esse atraso estratégico visa esgotar o ciclo de vida das campanhas publicitárias pagas, permitindo que o maior número possível de máquinas seja infectado antes que qualquer comportamento malicioso desperte os sistemas de segurança.
Do PDF ao roubo de dados: a cadeia de ataque
Após o período de dormência, os invasores ativam remotamente o payload principal. O infostealer passa a coletar cookies, históricos e senhas armazenadas em navegadores via DPAPI, além de estabelecer persistência no Windows por meio de tarefas agendadas e chaves de registro. A investigação confirmou que mais de 300 hosts em pelo menos 100 ambientes de clientes foram comprometidos. Embora a maior concentração de vítimas esteja na Alemanha (15%), Reino Unido (14%) e França (9%), o alcance é global, afetando 19 países no total.
Um diferencial da TamperedChef é o abuso de certificados de assinatura de código de empresas legítimas, principalmente da Malásia e dos EUA, para contornar o Windows SmartScreen e ganhar a confiança do usuário. Além do roubo inicial, a campanha implanta um payload secundário, o ManualFinderApp.exe, que funciona como backdoor, garantindo acesso prolongado aos sistemas afetados.
A Sophos recomenda que organizações desabilitem o armazenamento de senhas no navegador, adotem gerenciadores de senhas corporativos e reforcem o uso de MFA (Autenticação Multifator). Para empresas que já identificaram o compromisso, a orientação é a reinstalação dos endpoints e a redefinição imediata de todas as credenciais.
