Dans une étude parue le 27 août 2025, les chercheurs de Truesec décortiquent le mode opératoire d’une large campagne de vols de données. La porte d’entrée dans les infrastructures victimes ? Un éditeur de PDF promu sur Google Ads puis modifié après coup pour intégrer le logiciel malveillant Tampered Chef.
Gratuit et pratique, le piège parfait ?
Des hackers se sont reposés sur la popularité des éditeurs de PDF pour mettre en place une large campagne de diffusion de malware.
La stratégie décrite par les chercheurs de Truesec dans un blog paru le 27 août 2025 est particulièrement sournoise. En utilisant Google Ads, les pirates ont promu des sites proposant le téléchargement gratuit de l’outil nommé « AppSuite PDF Editor ».
Pour éviter toute détection et soupçons, la première version de l’application était totalement inoffensive.
Ce n’est qu’au bout de plusieurs mois, via une mise à jour, que l’outil est devenu un véritable chasseur d’informations sensibles, grâce à l’intégration de l’infostealer nommé Tampered Chef.
Une mise à jour comme déclencheur
Cette campagne en plusieurs étapes débute le 26 juin 2025, date à laquelle la plupart des sites hébergeant AppSuite PDF Editor sont créés.
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Durant les premières semaines, l’application remplit les fonctions promises et l’utilisateur peut éditer ses PDF sans aucune anomalie. Une version inoffensive qui passe tous les tests requis pour être vérifiée par les services d’analyse des logiciels malveillants et qui gagne doucement en crédibilité.
La promotion de l’outil est alors décuplée grâce à une campagne Google Ads finançait par les pirates.
Mais les chercheurs de Truesec relèvent déjà un signe suspect dans cette première version : le logiciel vérifie régulièrement s’il doit être mis à jour via un fichier .js dédié.
C’est le 21 août 2025 que le piège se referme. La mise à jour, appelée par la commande –fullupdate, intègre le logiciel malveillant TamperedChef à l’éditeur PDF.
L’infostealer conçu pour voler les données sensibles des utilisateurs s’active. Ses cibles ? Identifiants, cookies, et informations confidentielles stockées dans le navigateur.
TamperedChef analyse également les outils de sécurité présents dans les machines infectées et inscrit des éléments dans le registre de Windows pour assurer sa persistance à chaque redémarrage.
Quelle ampleur pour cette campagne ?
En tout, les chercheurs de TrueSec ont recensé plus de 50 domaines liés à cette opération et estiment que le groupe de hackers pourrait être derrière le déploiement d’autres outils malveillants.
Parmi eux, les navigateurs OneStart et Epibrowser, régulièrement identifiés comme PUP (Potentially Unwanted Programs). En plus de remplir le rôle d’infostealers, ces applications sont suspectées d’exécuter des commandes non sollicitées et de télécharger d’autres fichiers suspects sur les machines infectées.
Leur large diffusion avait par ailleurs été rendue possible par des campagnes Google Ads, un fléau relevé par de nombreux utilisateurs sur Reddit.
Des outils existent pour se prémunir face à ces pièges et pour évaluer le risque porté par certains fichiers téléchargés.
AppLocker permet de contrôler les logiciels autorisés à s’exécuter sur les appareils Windows. VirusTotal, quant à lui, offre la possibilité d’analyser gratuitement un fichier ou une URL, afin de détecter la présence éventuelle de logiciels malveillants avant toute utilisation.
Et pour éditer vos PDF en toute sécurité, vous pouvez retrouver les meilleurs outils (de confiance), juste ici.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
