Эксперты американской ИБ-компании Palo Alto Networks, считают, что вредоносных программ, которые маскируются под безобидные PDF-редакторы уже несколько лет действуют по всему миру и заразили тысячи устройств.
Palo Alto Networks обнаружила масштабную сеть вредоносных программ TamperedChef, которые маскируются под безобидные PDF-редакторы, архиваторы и другие «полезные» утилиты. За внешне обычными приложениями скрывались инструменты для кражи данных, удаленного доступа и скрытой установки дополнительного вредоносного ПО, пишет Securitylab.
Специалисты изучили более 4 тысяч образцов вредоносных файлов и свыше сотни вариантов программ, выдававших себя за легитимное ПО. Среди популярных приманок фигурировали Calendaromatic, CrystalPDF, AppSuite PDF, RocketPDFPro и OneZip. Распространяли такие приложения через рекламные объявления в поисковых системах и на сайтах, где пользователям обещали бесплатные инструменты для работы с документами, изображениями или архивами.
По данным компании, атаки затронули организации и частных пользователей по всему миру без явной географической привязки. В Palo Alto Networks считают, что популярность подобных схем продолжит расти, а злоумышленники будут все активнее использовать рекламные платформы и генеративный ИИ для создания новых вредоносных кампаний.
Мнением о проблеме поделился Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»).
«Да, действительно, TamperedChef распространяется как поддельный PDF-редактор через malvertising и устанавливает стиллеры/инфостиллеры, следовательно зараженные рабочие станции могут передать компрометированные данные в бэкапы, если нет изоляции и контроля. Важно понимать, что надежная система резервного копирования защищает от вредоносных кампаний, таких как TamperedChef, сочетанием неизменяемых копий, контролем целостности, разделением прав и процедур обнаружения и восстановлением».
Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»)