¿Descargaste un editor de PDF? Prepárate para decir adiós a las contraseñas de todas tus cuentas
El "queso gratis" ahora se esconde en programas de compresión y de documentos.
Palo Alto Networks reveló una amplia red de malware TamperedChef, que se disfraza de editores de PDF, compresores y otras utilidades "útiles". Detrás de aplicaciones aparentemente normales se ocultaban herramientas para el robo de datos, el acceso remoto y la instalación encubierta de malware adicional. Los autores del informe consideran que campañas similares han operado durante varios años en todo el mundo y han logrado infectar miles de dispositivos.
Los especialistas estudiaron más de 4 mil muestras de archivos maliciosos y más de cien variantes de programas que se presentaban como software legítimo. Entre los cebos populares figuraban Calendaromatic, CrystalPDF, AppSuite PDF, RocketPDFPro y OneZip. Estos programas se difundieron mediante anuncios en motores de búsqueda y en sitios donde se prometían herramientas gratuitas para trabajar con documentos, imágenes o archivos comprimidos.
La principal característica de TamperedChef es su sigilo inusual. Tras la instalación, el programa podía pasar semanas sin mostrar actividad sospechosa, continuando su funcionamiento como una aplicación normal. Más tarde, el módulo malicioso contactaba con un servidor de control y descargaba código adicional. En algunos casos los atacantes instalaban herramientas "stealer" para robar contraseñas, troyanos de acceso remoto (RAT) o herramientas para modificar la configuración del navegador.
Los autores del estudio identificaron tres grandes grupos de actividad, rastreados con los nombres CL-CRI-1089, CL-UNK-1090 y CL-UNK-1110. Cada uno utilizó su propia infraestructura, pero los métodos de trabajo resultaron muy parecidos. Para aumentar la confianza en los programas, los operadores emplearon masivamente certificados reales de firma digital. Los analistas contabilizaron al menos 81 organizaciones cuyos certificados se usaron para firmar los archivos maliciosos.
Palo Alto Networks prestó atención especial a la infraestructura publicitaria. Los operadores de las campañas maliciosas no solo creaban los programas, sino que los promocionaban a través de redes publicitarias. El informe menciona a la empresa israelí CANDY TECH LTD, vinculada a miles de anuncios para la difusión de utilidades falsas. A través de esos anuncios los usuarios llegaban a sitios con diseño profesional que mostraban botones de descarga y acuerdos legales, creando la ilusión de un producto legítimo.
Según la empresa, los ataques afectaron a organizaciones y a usuarios comunes en todo el mundo sin una clara vinculación geográfica. Palo Alto Networks considera que la popularidad de estos esquemas seguirá creciendo, y que los atacantes utilizarán cada vez más plataformas publicitarias y la inteligencia artificial generativa para crear nuevas campañas maliciosas.