假PDF编辑器藏恶意软体TamperedChef，靠Google广告扩散窃凭证

混淆既是艺术

资安业者Truesec揭露一波大规模恶意软体散布行动，攻击者透过Google广告导流至多个诈骗网站，推广名为AppSuite PDF Editor的免费工具，藉此诱使用户下载被植入窃资软体TamperedChef的安装档。这个程式初期表现如同一般PDF编辑器，但在特定时间后，攻击者会以远端指令启用恶意功能，专门窃取浏览器凭证与Cookie。Truesec指出，目前已有多家欧洲组织受到影响。

研究人员调查显示，PDF Editor安装档最早在5月15日出现在VirusTotal，相关网站与网域自6月26日陆续注册并开始推广。一直到8月21日，部分受害机器开始接收到指令，触发程式的恶意功能。这段期间间隔约56天，接近Google广告常见的60天投放周期，研究人员认为，攻击者刻意利用广告平台先累积安装量，再切换为恶意模式，扩大影响范围。

完成安装后，伪装的PDF编辑器会与远端伺服器保持通讯，并在系统内建立持久化机制，确保每次开机都能启动。初期行为正常，但在远端指令触发后，才会下载额外元件并展开窃资行动。