Nová kybernetická kampaň využívající falešné editory PDF pod názvem AppSuite PDF Editor se ukázala být prostředkem k šíření malwaru TamperedChef. Útočníci lákají uživatele na malvertising, který je přesměrovává na podvodné weby. Po instalaci se tváří aplikace jako běžný editor, ale na pozadí stahuje další škodlivý software, upravuje registry Windows a zajišťuje svou perzistenci.

Podle Truesec je cílem získávání citlivých dat včetně přihlašovacích údajů a webových cookies. Německá společnost G DATA uvedla, že instalační program vytváří naplánované úlohy s argumenty umožňujícími další aktualizace a spuštění backdoor funkcí. Analýzy potvrdily, že malware podporuje více režimů – od komunikace s řídicím serverem až po exfiltraci dat, úpravy nastavení prohlížečů či stahování dalšího malwaru.

Kampaň odstartovala koncem června 2025 a zpočátku působila neškodně, dokud útočníci v srpnu neaktivovali škodlivé funkce. Doba mezi spuštěním kampaně a aktivací odpovídá standardní délce reklamních cyklů na Google Ads, což naznačuje promyšlenou strategii maximalizace šíření.

Současně byly odhaleny i další weby, které nabízely obdobné PDF editory a bez vědomí uživatelů instalovaly trojské koně nebo zneužívaly zařízení jako rezidenční proxy. „AppSuite PDF Editor je klasický trojský kůň se zadními vrátky, který se masivně šíří,“ uvedla G DATA.

Případ ukazuje, jak snadno lze zneužít důvěru v běžné aplikace a reklamní kanály. Uživatelé by proto měli stahovat software pouze z oficiálních zdrojů a sledovat varování bezpečnostních řešení.

Zdroj: The Hacker News