AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Campaña de Malware TamperedChef: Distribución Masiva a Través de Google Ads y Falsas Webs de Edición PDF**

admin

### Introducción

Recientemente se ha detectado una campaña de distribución de malware sofisticada que utiliza anuncios en Google Ads y sitios web fraudulentos de edición de PDF para propagar el info-stealer conocido como TamperedChef. Esta operación, dirigida a usuarios y empleados corporativos, representa un ejemplo preocupante de cómo los actores de amenazas aprovechan técnicas de ingeniería social y plataformas legítimas de publicidad para distribuir software malicioso. El incidente pone de manifiesto la necesidad de reforzar los controles de seguridad y concienciación, especialmente en entornos corporativos donde la descarga de aplicaciones de fuentes no verificadas sigue siendo una práctica común.

### Contexto del Incidente

En las últimas semanas, equipos de Threat Intelligence y analistas de seguridad han identificado un aumento significativo de infecciones por TamperedChef, un info-stealer emergente que se está distribuyendo a través de sitios web que simulan ser herramientas legítimas de edición de archivos PDF. El vector inicial de compromiso se basa en la utilización de Google Ads para posicionar estos sitios fraudulentos en los primeros resultados de búsqueda, incrementando la probabilidad de que usuarios desprevenidos descarguen el software malicioso.

Según informes recientes, los atacantes han creado múltiples dominios que imitan a conocidas aplicaciones de edición de PDF, utilizando técnicas de typosquatting y clonado visual para aumentar su credibilidad. Al hacer clic en los anuncios, el usuario es redirigido a estos portales maliciosos, donde se ofrece la descarga de un instalador supuestamente legítimo, que en realidad contiene el malware TamperedChef.

### Detalles Técnicos

TamperedChef se caracteriza por su capacidad para robar credenciales, cookies, datos de autocompletado y billeteras de criptomonedas desde navegadores y aplicaciones instaladas en el sistema. La campaña identificada afecta principalmente a sistemas Windows, aunque no se descartan variantes para otros sistemas operativos en un futuro próximo.

**CVE y vectores de ataque:**
Hasta la fecha, no se ha asociado la campaña con ninguna vulnerabilidad específica (CVE) en productos de Adobe o editores de PDF; el vector principal es la ingeniería social y la suplantación de dominio. Los TTP empleados corresponden a los siguientes subapartados del marco MITRE ATT&CK:

– **Initial Access (T1566.001):** Phishing a través de SEO y Google Ads maliciosos.
– **Execution (T1204):** Ejecución de payload tras la descarga de un instalador trojanizado.
– **Credential Access (T1555):** Robo de credenciales almacenadas en navegadores.
– **Collection (T1119):** Recopilación de documentos y datos sensibles del sistema.
– **Exfiltration (T1041):** Exfiltración cifrada a servidores C2 controlados por los atacantes.

**IoCs y herramientas empleadas:**
– Dominios: variantes de nombres populares de editores PDF con ligeras modificaciones ortográficas.
– Hashes de archivos ejecutables maliciosos publicados por VirusTotal y compartidos por varios CERTs.
– Servidores C2 identificados en países de Europa del Este y Asia.
– El payload ha sido empaquetado y ofuscado utilizando herramientas como UPX y técnicas anti-VM para dificultar la detección en sandbox.

No se ha reportado explotación a través de frameworks como Metasploit o Cobalt Strike en esta campaña concreta, dado que el vector es principalmente la descarga directa del ejecutable.

### Impacto y Riesgos

Las primeras estimaciones indican que más de 30.000 usuarios podrían haberse visto afectados en las dos primeras semanas de campaña, con un 40% de incidencias reportadas en empresas del sector financiero y servicios profesionales en Europa y Norteamérica. El robo de credenciales y el acceso a billeteras de criptomonedas ha causado ya pérdidas económicas que se estiman en más de 2 millones de euros.

El riesgo principal radica en la posibilidad de movimiento lateral posterior gracias a las credenciales obtenidas, facilitando ataques de mayor envergadura como ransomware o espionaje corporativo. Además, la campaña supone un grave incumplimiento de normativas como GDPR y NIS2 en caso de pérdida o divulgación de datos personales.

### Medidas de Mitigación y Recomendaciones

– **Bloqueo de dominios sospechosos** mediante listas negras y filtrado DNS.
– **Desactivación de descargas de software** desde fuentes externas no autorizadas en estaciones de trabajo corporativas.
– **Implementación de EDR/NGAV** con capacidades de detección de payloads y actividades anómalas asociadas a TamperedChef.
– **Concienciación y formación** continua para empleados, haciendo especial hincapié en la descarga segura de software.
– **Monitorización de logs** en navegadores y endpoints para identificar extracción de credenciales y conexiones a C2.
– **Actualización de firmas de IOC** en SIEM y plataformas de Threat Intelligence.

### Opinión de Expertos

Especialistas en Threat Intelligence advierten que el uso de Google Ads y técnicas de SEO malicioso para distribuir malware va en aumento. Según Marta López, analista de amenazas en un CERT nacional, «el abuso de plataformas legítimas y la sofisticación de los sitios fraudulentos hace que los controles tradicionales de seguridad sean insuficientes. Las empresas deben apostar por una defensa en profundidad y reforzar los programas de concienciación».

### Implicaciones para Empresas y Usuarios

El incidente subraya la urgencia de revisar las políticas de descarga de software en entornos corporativos y de establecer controles de acceso más estrictos. Para los usuarios finales, la campaña evidencia la necesidad de verificar siempre la legitimidad de las fuentes antes de instalar cualquier aplicación, especialmente cuando se accede a través de anuncios.

Desde el punto de vista normativo, las empresas afectadas podrían enfrentarse a sanciones severas bajo el Reglamento General de Protección de Datos (GDPR) y la nueva directiva NIS2, en caso de demostrarse una falta de diligencia en la protección de datos personales.

### Conclusiones

La campaña de TamperedChef representa una amenaza real y latente, que aprovecha la confianza de los usuarios en los anuncios de Google y la necesidad habitual de herramientas PDF. El enfoque del ataque, basado en la ingeniería social y la suplantación de identidad digital, obliga a las organizaciones a reforzar sus políticas, controles técnicos y concienciación para evitar incidentes de seguridad de alto impacto.

(Fuente: www.bleepingcomputer.com)