Mit Trojaner infizierte PDF-Bearbeitungsanwendung namens „AppSuite PDF Editor“

Im September 2025 identifizierte das Managed Detection and Response (MDR)-Team von Sophos eine Malvertising-Kampagne namens TamperedChef , die auf den Diebstahl von Zugangsdaten ausgelegt ist – vermutlich Teil einer größeren Kampagne namens EvilAI. Frühere Berichte anderer Forschungsteams deuten darauf hin, dass die Kampagne bereits Ende Juni 2025 ihren Anfang nahm, da viele der zugehörigen Websites an diesem Tag registriert oder erstmals identifiziert wurden. Die Websites bewarben über Google Ads eine mit einem Trojaner infizierte PDF-Bearbeitungsanwendung namens „AppSuite PDF Editor“. Diese Anwendung erschien legitim, installierte aber nach der Installation unbemerkt einen Infostealer, der Windows-Gernäte ins Visier nahm.

Die Telemetrie und Bedrohungsanalyse des Sophos-MDR-Teams ergaben, dass sich die meisten Opfer der Kampagne in Deutschland (ca. 15 %) befanden, gefolgt von Großbritannien (ca. 14 %) und Frankreich (ca. 9 %). Die anvisierten Ziele stammen aus verschiedenen Branchen, insbesondere solchen, deren Betrieb stark von spezialisierter technischer Ausrüstung abhängt – möglicherweise, weil Anwender in diesen Branchen häufig online nach Produkthandbüchern suchen. Dieses Verhalten nutzt die TamperedChef-Kampagne aus, um Schadsoftware zu verbreiten.

Weitere Untersuchungen ergaben, dass das große, mehrschichtige Verbreitungsnetzwerk mehrere fortgeschrittene Taktiken einsetzte, darunter eine verzögerte Aktivierungs-/Ruhephase, Ködersoftware, gestaffelte Auslieferung der Schadsoftware, Missbrauch von Codesignaturzertifikaten und Versuche, Endpunktschutzmechanismen zu umgehen. Anderen Forschern zufolge scheint die Kampagne weiterhin aktiv zu sein. Es werden immer noch neue Komponenten entdeckt und die unterstützende Infrastruktur scheint weiterhin in Betrieb zu sein, auch wenn die von Sophos untersuchten Domains nun inaktiv sind.

„Die Angreifer hinter der TamperedChef-Kampagne entwickelten überzeugende Schadsoftware, nutzten gezielte Werbung für eine großflächige Verbreitung und sicherten sich Codesignaturzertifikate“, so Michael Veit, Cybersecurity-Experte bei Sophos zum Vorgehen der kriminellen Gruppe. „Ein fataler Mix mit gravierenden Folgen: Nutzer, die den AppSuite PDF Editor installiert haben, sollten davon ausgehen, dass alle in ihren Browsern gespeicherten Zugangsdaten kompromittiert sind. Angreifer wissen genau, dass Malvertising ein erfolgreicher und effektiver Infektionsweg sein kann. Es ist deshalb sehr wahrscheinlich, dass die Angreifer hinter TamperedChef und andere Gruppierungen auch in Zukunft ähnliche Strategien verfolgen.“

Sophos empfiehlt folgende Maßnahmen zur Prävention:

• Vermeiden Sie die Installation von Software aus Werbung. Klicken Sie nicht auf Installationslinks oder Pop-ups in Online-Werbung – selbst wenn diese von bekannten Marken zu stammen scheinen. Laden Sie Software nur von offiziellen Herstellerseiten herunter.
• Implementieren Sie strenge Anwendungskontrollen und beschränken Sie in Unternehmen die Installation von Software soweit wie möglich auf genehmigte Software.
• Verbessern Sie die Zugangsdatenverwaltung. Deaktivieren Sie nach Möglichkeit die browserbasierte Passwortspeicherung und erzwingen Sie die Verwendung sicherer, vom Unternehmen genehmigter Passwortmanager. Um das Risiko von Anmeldedatendiebstahl und unberechtigtem Zugriff zu reduzieren, ist für alle Konten die Multi-Faktor-Authentifizierung (MFA) und/oder ein Passwort empfehlenswert.
• Schulen Sie Endbenutzer in Sachen Softwarebeschaffung. Führen Sie Sensibilisierungsschulungen durch, die auf das Erkennen von Schadsoftware, irreführenden Downloadseiten und betrügerischen Installationsprogrammen abzielen. Verdeutlichen Sie, dass Software nur von offiziellen Herstellerwebseiten oder vertrauenswürdigen App-Stores heruntergeladen werden sollte.

Empfohlene Maßnahmen nach einem Vorfall:

• Führen Sie umfassende Endpunktscans mit aktuellen Bedrohungsdaten durch, um bekannte Indikatoren für eine Kompromittierung zu erkennen.
• Setzen Sie kompromittierte Endpunkte neu auf und setzen Sie die Anmeldeinformationen umgehend zurück, um das Risiko einer Persistenz zu beseitigen.
• Überprüfen und erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle betroffenen Benutzer und Systeme, die bisher nicht geschützt waren.
• Verbessern Sie die Verhaltensüberwachung und -erkennung, um schädliche Aktivitäten und potenzielle Folge-Payloads zu identifizieren.
• Beschränken Sie die Installation nicht verifizierter oder unautorisierter Software mithilfe von Anwendungskontroll- und Herausgebervalidierungsrichtlinien.