2 月 19 日消息,科技媒体 BornCity 今天(2 月 19 日)发布博文,报道称名为 TamperedChef 的 PDF 木马程序通过恶意广告(Malvertising)和搜索引擎优化(SEO)投毒死灰复燃,主要伪装成 AppSuite PDF Editor 等合法软件传播。
Sophos 的数据显示,该攻击活动最早可追溯至 2025 年 6 月,目前受害者主要集中在德国(约 15%)和英国(约 14%)。一旦用户下载并安装这些“伪装软件”,木马便会潜入系统,专门针对 Windows 设备窃取敏感信息。
据受害者反馈,TamperedChef 能够通过修改注册表或组策略,强制禁用 Windows Defender,甚至将系统的关键文件(如 explorer.exe、schtasks.exe 以及各类 .sys 驱动文件)替换为被感染的恶意版本。
援引博文介绍,由于攻击者使用了伪造的数字签名,即便是离线版的杀毒扫描工具也难以识别这些被篡改的文件。此外,该木马还具备“延迟激活”功能,潜伏数月后才会发起实质性攻击,从而避开安全软件的初步检测。
一名受害者详细描述了被攻击后的惨痛经历:木马窃取了其 Edge 浏览器中的所有 Cookie 和自动保存的密码,导致包括 PayPal 在内的约 30 个在线账户被攻击者瞬间接管。
攻击者利用窃取的权限,通过 Zoom 扣款等方式盗取了受害者 PayPal 及关联银行账户中的资金。更令人担忧的是,该木马似乎具备横向移动能力,受害者家中通过 Wi-Fi 和蓝牙连接的设备(包括路由器)均出现了感染迹象。
安全专家建议用户严格遵循“官方渠道下载”原则,坚决不点击搜索引擎广告中的软件链接。技术层面,启用 Windows 的 AppLocker 策略可以有效阻止未知或无签名的脚本(如 .js、.vbs)运行,从而切断木马的植入路径。
同时,部署 DNS 过滤工具(如 Cloudflare 的 1.1.1.2)及浏览器广告拦截插件(如 uBlock Origin),也能在一定程度上阻断恶意广告的加载。
