Sahte PDF Düzenleyicilerle Yaygınlaşan TamperedChef Zararlısı Kimlik Bilgileri ve Çerezleri Hedefliyor

Anasayfa » Sahte PDF Düzenleyicilerle Yaygınlaşan TamperedChef Zararlısı Kimlik Bilgileri ve Çerezleri Hedefliyor
Haberler, Siber Güvenlik, Tehdit Analizi, Zararlı Yazılım
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Sahte PDF Düzenleyicilerle Yaygınlaşan TamperedChef Zararlısı Kimlik Bilgileri ve Çerezleri Hedefliyor

Trojanlı PDF Düzenleyici Kılığında Zararlı Yazılım

Truesec araştırmacıları Mattias Wåhlén, Nicklas Keijser ve Oscar Lejerbäck tarafından yayımlanan rapora göre, siber saldırganlar kurbanları trojanlı bir PDF düzenleyiciyi indirip kurmaya yönlendiriyor. Bu sahte uygulama, TamperedChef adlı bilgi çalan zararlı yazılımı barındırıyor ve kimlik bilgileri ile web çerezleri gibi hassas verileri toplamaya odaklanıyor.

Sahte Web Siteleri ve Yükleyici Mekanizması

Kampanyanın merkezinde, AppSuite PDF Editor adlı ücretsiz bir PDF düzenleyici yükleyicisini tanıtan sahte web siteleri bulunuyor. Kurulum sırasında kullanıcıdan hizmet şartları ve gizlilik politikasını kabul etmesi istenirken, arka planda yükleyici dış bir sunucudan zararlı ikili dosyayı indiriyor ve Windows Kayıt Defteri üzerinde değişiklik yaparak zararlının sistem yeniden başlatıldığında otomatik çalışmasını sağlıyor. Bu kayıt defteri girdisi, zararlının komut satırı argümanlarıyla kontrol edilmesine olanak tanıyor.

G DATA Analizi ve Zararlının İşlevleri

Alman siber güvenlik firması G DATA’nın analizine göre, bu sahte PDF düzenleyiciler aynı yükleyiciyi kullanıyor ve kullanıcı lisans sözleşmesini kabul ettikten sonra zararlı yazılımı sunucudan alıyor. Zararlı, –install, –cleanup, –ping, –check ve –reboot gibi komutları destekleyerek zamanlanmış görevler oluşturuyor, komut ve kontrol sunucusuyla iletişim kuruyor, ek zararlı yazılımlar indiriyor ve sistemdeki güvenlik ürünlerini tespit ediyor. Ayrıca, Chromium, OneLaunch ve Wave gibi tarayıcılardan kimlik bilgileri, geçmiş ve çerezleri topluyor ve manipüle ediyor.

Kampanya Zamanlaması ve Yayılım Yöntemleri

Kampanyanın 26 Haziran 2025’te başladığı tahmin ediliyor. Sahte siteler bu tarihte kaydedilmiş ve en az beş farklı Google reklam kampanyasıyla PDF düzenleyici tanıtılmış. İlk başta zararsız görünen PDF düzenleyici, 21 Ağustos 2025 itibarıyla TamperedChef’in bilgi çalma yeteneklerini aktif hale getiren güncellemeler aldı. Expel tarafından yapılan eş zamanlı analizler, bu reklam kampanyalarının kullanıcıları AppSuite, PDF OneStart ve PDF Editor gibi araçların indirme sitelerine yönlendirdiğini ve bazı durumlarda izinsiz trojanlı uygulamalar indirdiğini ortaya koydu.

Sonuç ve Öneriler

G DATA, AppSuite PDF Editor’ün klasik bir trojan atı olduğunu ve arka kapı içerdiğini belirtiyor. Siber güvenlik uzmanları ve kullanıcılar, PDF düzenleyici indirme sitelerine karşı dikkatli olmalı, resmi kaynaklar dışındaki uygulamalardan kaçınmalı ve sistemlerinde güçlü güvenlik çözümleri kullanmalıdır.

, , , , , , ,