¿Qué es “TamperedChef” y cómo se distribuye?

“TamperedChef” es una campaña de malvertising que promociona un falso editor de PDF llamado AppSuite PDF Editor mediante anuncios en Google. El usuario llega a una web fraudulenta pero cuidada, descarga un instalador firmado digitalmente y, tras una fase de latencia, el software se arma para robar credenciales, cookies y otros datos. Los operadores han montado una infraestructura con decenas de dominios y varias campañas publicitarias para maximizar el alcance.

¿Qué hace el malware una vez activado?

Realiza reconocimiento (enumera soluciones de seguridad), cierra procesos de navegadores (Chrome, Edge, Brave, Firefox) para liberar ficheros y extrae credenciales y cookies usando DPAPI. Mantiene canal de mando y control para descargar módulos adicionales y puede convertir el equipo en proxy residencial, enmascarando actividad delictiva detrás de IPs domésticas. Se han observado binarios auxiliares como elevate.exe para potencial escalada de privilegios.

¿Cuáles son los principales Indicadores de Compromiso (IoC) y señales para detección?

Señales útiles para SOC: claves de persistencia en registro asociadas a AppSuite con parámetros --fullupdate/--partialupdate; secuencia anómala ‘cierre de navegador + acceso a bases SQLite/Chrome/Firefox con DPAPI’; conexiones salientes a dominios recién registrados controlados por los atacantes; presencia de instaladores firmados a nombre de empresas poco conocidas con certificados posteriormente revocados; binarios auxiliares como elevate.exe; aparición de PUP relacionados (OneStart, ManualFinder, EpiBrowser) que descargan cargas o activan proxy residencial.

¿Cómo mitigarlo en empresas y qué hacer si sospecho infección?

En entornos corporativos: bloquear malvertising con filtros/AdBlock, restringir ejecución con AppLocker o políticas equivalentes, inventariar y desinstalar AppSuite/OneStart/EpiBrowser, revocar tokens de sesión, forzar MFA y rotar contraseñas, y usar IoCs para cacerías proactivas. En usuarios: descargar solo desde webs oficiales/tiendas, desconfiar de utilidades promocionadas por anuncios, desinstalar de inmediato el software sospechoso, pasar un escaneo antimalware actualizado y cambiar contraseñas. Los certificados revocados no protegen instalaciones ya hechas; por ello, la respuesta temprana es clave.

“TamperedChef”: la campaña de malvertising que convierte un editor de PDF en un ladrón de credenciales —y hasta en proxy residencial

X (Twitter) Facebook Pinterest Email WhatsApp

Una oleada de anuncios en Google ha servido de gancho para que miles de usuarios descarguen un falso editor de PDF —bautizado como AppSuite PDF Editor— que, tras un periodo de latencia cuidadosamente calculado, activa un infostealer capaz de robar credenciales, cookies de sesión y otra información sensible. La operación encaja en un patrón cada vez más frecuente: utilidades gratuitas aparentemente inocuas que esperan semanas antes de “armarse” para evadir detección y maximizar el alcance.

Un PDF “gratis” que se vuelve malicioso… con retraso

Los primeros indicios sitúan el inicio de la campaña en junio de 2025, cuando múltiples dominios comenzaron a registrar o publicitar AppSuite PDF Editor. La primera muestra se había subido a VirusTotal un mes antes, pero no hubo señales visibles de maldad hasta agosto: durante ese intervalo, el programa funcionó como prometía, a la vez que comprobaba periódicamente si había instrucciones nuevas para cambiar de comportamiento.

El instalador notificaba hitos de instalación a endpoints remotos y descargaba el ejecutable desde dominios controlados por los atacantes. Para persistir, añadía claves en el registro de Windows con parámetros ocultos (--install, --partialupdate, --fullupdate). La activación maliciosa llegaba con --fullupdate, que forzaba la descarga y ejecución de un payload ofuscado.

Qué hace “TamperedChef” cuando despierta

Una vez activo, TamperedChef arranca una cadena de acciones orientada a la exfiltración de datos y a la persistencia:

Reconocimiento y evasión: enumera agentes de seguridad instalados para ajustar su conducta.
Robo en navegadores: termina procesos de Chrome, Edge, Brave o Firefox para liberar ficheros bloqueados y consulta sus bases de datos mediante DPAPI (Windows Data Protection API), con el objetivo de extraer credenciales y cookies de sesión.
Mando y control: conserva la capacidad de descargar ejecutables adicionales o recibir órdenes, abriendo la puerta a más malware.

El efecto práctico es doble: por un lado, compromiso de cuentas corporativas o personales; por otro, la posibilidad de usar el equipo de la víctima como proxy residencial, un recurso valioso para enmascarar actividades delictivas detrás de IPs domésticas.

Google Ads como vector y certificados de firma bajo sospecha

La masividad de la campaña se explica por el malvertising: al menos cinco identificadores de campañas en Google redirigieron búsquedas de “PDF editor” hacia páginas fraudulentas muy bien cuidadas. Además, los operadores levantaron una infraestructura con más de 50 dominios.

Para esquivar controles de reputación, distintas versiones del instalador se firmaron digitalmente con certificados de código emitidos a nombre de varias compañías. Aunque esos certificados han sido revocados, el riesgo persiste en instalaciones previas y en posibles re-ediciones firmadas con nuevos certificados.

No es “solo” adware: un ecosistema PUP que cruza la línea

La operación no se reduce a AppSuite PDF Editor. Investigaciones paralelas detallan un ecosistema en el que herramientas como OneStart, ManualFinder o EpiBrowser —a menudo etiquetadas como software potencialmente no deseado (PUP)— descargaban archivos sospechosos, ejecutaban comandos no esperados y convertían equipos en proxies residenciales. Ese comportamiento desborda la etiqueta PUP y se acerca al de un troyano a pleno derecho.

Por qué funciona (y por qué cuesta detectarlo)

La táctica es eficaz por tres razones:

Demanda masiva: millones buscan “editor de PDF gratis”, y el coste por adquisición en campañas de anuncios es asumible.
Funcionalidad real al principio: la app funciona y no levanta sospechas durante semanas.
Arme diferido: el “switch” de activación no depende del instalador local, sino de instrucciones remotas coincidentes con el fin de la campaña publicitaria.

Qué mirar: señales de alto valor para SOC y equipos de defensa

Entre los puntos de detección más útiles:

Persistencia en el registro con parámetros ocultos (--fullupdate).
Secuencia “navegador fuera + DPAPI”: cierre repentino de procesos de navegador seguido de acceso a bases de datos de perfil.
Flujos de red hacia dominios controlados por los atacantes.
Binarios acompañantes como elevate.exe, recompilado para posibles escaladas de privilegios.

Medidas de contención y hardening

Para organizaciones:

Bloquear publicidad maliciosa mediante filtros y AdBlockers.
Restringir la ejecución de software con AppLocker o políticas equivalentes.
Inventariar y desinstalar programas como AppSuite, OneStart o EpiBrowser si aparecen en sistemas corporativos.
Revocar tokens, forzar MFA y resetear contraseñas ante sospecha de exfiltración.
Utilizar IoCs compartidos como semilla para búsquedas y cacerías proactivas.

Para usuarios particulares:

Descargar software solo de webs oficiales o tiendas verificadas.
Desconfiar de utilidades promocionadas por anuncios que piden permisos anómalos.
Desinstalar inmediatamente programas de este tipo y cambiar contraseñas si ya se usaron.

Atribución: profesionalización y monetización múltiple

No hay atribución pública consolidada, pero la calidad de la infraestructura, el uso de certificados de firma y la sincronización con campañas publicitarias sugieren un grupo criminal organizado, versado en publicidad maliciosa, empaquetado de PUP y monetización a través del robo de credenciales y del alquiler de ancho de banda vía proxies residenciales.

Preguntas frecuentes (FAQ)

1) ¿Cómo llega el malware al equipo si el instalador parecía legítimo?
A través de anuncios en Google que redirigen a páginas fraudulentas con un instalador firmado digitalmente.

2) ¿Por qué esperan semanas para activarlo?
Para maximizar descargas durante la ventana típica de campañas publicitarias y dificultar la detección.

3) ¿Qué datos roba TamperedChef y cómo?
Roba contraseñas y cookies de navegadores, forzando el cierre de procesos y accediendo a sus bases de datos mediante DPAPI.

4) ¿Qué medidas mínimas deberían aplicar empresas y usuarios?
Descargar solo de fuentes oficiales, aplicar MFA, controlar ejecución de software, bloquear malvertising y desinstalar utilidades sospechosas.

vía: malwarebytes, truesec y expel

X (Twitter) Facebook Pinterest Email WhatsApp

“TamperedChef”: la campaña de malvertising que convierte un editor de PDF en un ladrón de credenciales —y hasta en proxy residencial

Un PDF “gratis” que se vuelve malicioso… con retraso

Qué hace “TamperedChef” cuando despierta

Google Ads como vector y certificados de firma bajo sospecha

No es “solo” adware: un ecosistema PUP que cruza la línea

Por qué funciona (y por qué cuesta detectarlo)

Qué mirar: señales de alto valor para SOC y equipos de defensa

Medidas de contención y hardening

Atribución: profesionalización y monetización múltiple

Preguntas frecuentes (FAQ)

Sobre el autor

Mariano Sánchez

Un PDF “gratis” que se vuelve malicioso… con retraso

Qué hace “TamperedChef” cuando despierta

Google Ads como vector y certificados de firma bajo sospecha

No es “solo” adware: un ecosistema PUP que cruza la línea

Por qué funciona (y por qué cuesta detectarlo)

Qué mirar: señales de alto valor para SOC y equipos de defensa

Medidas de contención y hardening

Atribución: profesionalización y monetización múltiple

Preguntas frecuentes (FAQ)

Sobre el autor

Mariano Sánchez

Entradas relacionadas