TamperedChef マルウェア・キャンペーン:PDF Editor を装う長期潜伏型の攻撃

TamperedChef Malware Disguised as PDF Editor Hijacks Browser Credentials and Opens Backdoors

2025/10/06 gbhackers — TamperedChef と呼ばれる高度なマルウェア・キャンペーンが、正規の PDF Editor アプリを装うことで欧州の組織への侵害に成功したと、WithSecure の Strategic Threat Intelligence & Research Group (STINGR) が発表した。このキャンペーンが示すのは、説得力ある広告戦略と完全に機能するルアー・アプリを用いる脅威アクターが、機密認証情報を窃取し、永続的なバックドア・アクセスを確立した手法である。

TamperedChef キャンペーンは、無料 PDF Editor ソフトを検索したユーザーが悪意の広告に誘導され、攻撃者が管理するダウンロード・サイトへとリダイレクトされるところから始まる。

TamperedChef - Country Heatmap.
TamperedChef – Country Heatmap.

その後に脅威アクターは、End User License Agreement (EULA) ダイアログを表示する Microsoft Installer (MSI) パッケージを通じてペイロードを配布し、正規アプリケーションを装いながら、セキュリティ検知システムを回避していた。さらに、インストールには管理者権限が不要であり、ユーザー権限が制限された企業環境で特に効果的だったという。

EULA dialog displayed by the MSI installer.
EULA dialog displayed by the MSI installer.

このマルウェアは、ユーザー・プロファイル・ディレクトリにインストールされた後に、自動実行レジストリ・エントリを通じて永続性を確立し、システム・ログオン時に自動的に起動する構造となっている。

技術アーキテクチャとペイロード

AppSuite PDF Editor は Node.js で構築され、Electron アプリケーションとしてパッケージ化されており、Chromium ベースのフル機能ブラウザとして動作するものだ。

この環境内で、悪意の機能は2つのコンポーネントに存在していた。1つ目は、ユーザー・インターフェイスと悪意のある活動を担う、高度に難読化された JavaScript ファイル “pdfeditor.js” である。2つ目は、レジストリ・エントリおよびスケジュール・タスクを操作するために設計された、カスタム Node.js モジュール “Utilityaddon.node” である。

Application directory with non-obfuscated scripts.
Application directory with non-obfuscated scripts.

このアプリケーションは、約2ヶ月にわたって、”pdf-tool[.]appsuites[.]ai” でホストされる Web コンテンツを通じて配布され、正当な PDF 編集機能を期待どおりに提供していた。この長期の潜伏期間により、マルウェアは検出を回避しながら、ユーザーやセキュリティ・システムからの信頼を獲得していた。

そして、2025年8月21日に、埋め込まれたペイロードが起動し、感染したシステムのブラウザに保存されている認証情報を、体系的に収集し始めた。

このペイロードの起動により、キャンペーンの真の目的が明らかになった。この脅威アクターは、悪意の JavaScript コードを除去したクリーン版 (1.0.40/1.0.41) を急遽リリースしたのである。しかし、これらのクリーン版も攻撃者が管理するインフラへの接続を維持し、潜在的なバックドア機能を保持していた。

より懸念されるのは、キャンペーンの後継とされる S3-Forge の出現である。S3-Forge は、PDF Editor のコンセプトを受け継ぎながら、ソフトウェア開発者を標的とするように設計されている。具体的には、Amazon Web Services のクラウド・ストレージ参照を介して、標的を識別/誘導する能力が示唆されている。

“--cm” command line argument present in S3-Forge.
“–cm” command line argument present in S3-Forge.

それに加えて、S3-Forge は Squirrel フレームワーク経由で配布される、NuGet パッケージを悪用しており、新たな配布手法の実験も示唆される。さらに、悪意のコンポーネントを “app.asar” ファイルにバンドルすることで検出を困難にしながら、コマンドライン引数  “–cm” を維持して、悪意の機能を有効化している点も注目される。

影響と推奨事項

TamperedChef の影響を受けた組織は、ブラウザに保存された認証情報が完全に侵害されたものと想定する必要がある。このキャンペーンの成功は、正規のコード・サイニング証明書の取得や、標的型広告キャンペーンの実施といった、高度に計画された攻撃によるものだ。

重要なセキュリティ対策は、以下の通りである。

  • 影響を受けた全ユーザーの認証情報を直ちにローテーションする。
  • 企業システム全体におけるセッションを無効化する。
  • ビジネス環境で承認済みのソフトウェア・ポリシーを徹底する。
  • 可能な限りブラウザのパスワード保存機能を無効化する。
  • 厳格なポリシー管理を備えた企業向けパスワード管理ツールを導入する。

TamperedChef キャンペーンが示すのは、正規アプリの機能と長期的な侵害戦略を組み合わせた、ソーシャル・エンジニアリング手法の進化である。この脅威アクターは、高度な攻撃手法を継続的に洗練しており、今後も同様の欺瞞的なソフトウェア配布キャンペーンが起こると想定する必要がある。

TamperedChef に関するレポートが示す特徴は、配布経路とアプリ構造の組合せにあります。一般的な手法でマルウェアが仕掛けられますが、2ヶ月間にわたる潜伏期間を設けて信頼を得た上で攻撃を発動するという、きわめて狡猾な戦略で成功を収めています。この種の攻撃スタイルが増える可能性があると、この記事は指摘しています。よろしければ、カテゴリ SocialEngineering を、ご参照ください。