Uma nova campanha de malware chamada TamperedChef tem causado preocupação entre organizações europeias ao se disfarçar como um editor de PDF legítimo, o AppSuite PDF Editor. O malware, que permaneceu inativo por quase dois meses, foi ativado em 21 de agosto de 2025, e começou a roubar credenciais de navegadores, permitindo a instalação de backdoors. O ataque começou com anúncios em motores de busca que redirecionavam usuários para domínios controlados pelos atacantes, onde um pacote de instalação malicioso era oferecido. Após a instalação, o malware se escondia sob a aparência de um editor de PDF, enquanto coletava informações sensíveis armazenadas em navegadores como Chrome, Firefox e Edge. Os atacantes também lançaram atualizações do aplicativo que removiam a lógica maliciosa visível, mas mantinham conexões com a infraestrutura controlada por eles. Além disso, uma variante chamada S3-Forge está sendo testada, indicando uma evolução nas táticas de distribuição. Para mitigar os riscos, as organizações devem proibir instalações de anúncios não confiáveis, implementar listas de permissões rigorosas e monitorar atividades suspeitas em aplicações Electron.
Fonte: https://cyberpress.org/tamperedchef-malware-2/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
07/10/2025 • Risco: ALTO
MALWARE
Malware TamperedChef se disfarça de editor PDF para roubar credenciais
RESUMO EXECUTIVO
O incidente do TamperedChef destaca a necessidade de vigilância constante em relação a softwares aparentemente benignos que podem ser utilizados como vetores de ataque. A rápida evolução das táticas dos atacantes requer que as empresas estejam preparadas para responder a ameaças emergentes.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais de navegadores, instalação de backdoors.
Setores vulneráveis
['Setores que utilizam editores de PDF e softwares de produtividade.']
📊 INDICADORES CHAVE
O malware permaneceu inativo por quase dois meses.
Indicador
Atualizações do aplicativo foram lançadas rapidamente após a ativação do roubo de credenciais.
Contexto BR
Duas versões do aplicativo foram identificadas (1.0.40 e 1.0.41).
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há instalações do AppSuite PDF Editor ou de softwares relacionados em uso.
2
Proibir a instalação de aplicativos de fontes não confiáveis e implementar listas de permissões.
3
Monitorar atividades suspeitas em aplicações Electron e auditorias regulares de entradas de autorun.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais e a possibilidade de backdoors em suas redes, especialmente em um cenário onde muitos utilizam softwares de edição de PDF.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD, especialmente no que diz respeito ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
