TamperedChef 木马肆虐网络：用户下个“PDF 编辑器”，30 个账号资金惨遭洗劫

2 月 19 日消息，科技媒体 BornCity 今天（2 月 19 日）发布博文，报道称名为 TamperedChef 的 PDF 木马程序通过恶意广告（Malvertising）和搜索引擎优化（SEO）投毒死灰复燃，主要伪装成 AppSuite PDF Editor 等合法软件传播。

Sophos 的数据显示，该攻击活动最早可追溯至 2025 年 6 月，目前受害者主要集中在德国（约 15%）和英国（约 14%）。一旦用户下载并安装这些“伪装软件”，木马便会潜入系统，专门针对 Windows 设备窃取敏感信息。

据受害者反馈，TamperedChef 能够通过修改注册表或组策略，强制禁用 Windows Defender，甚至将系统的关键文件（如 explorer.exe、schtasks.exe以及各类 .sys 驱动文件）替换为被感染的恶意版本。

援引博文介绍，由于攻击者使用了伪造的数字签名，即便是离线版的杀毒扫描工具也难以识别这些被篡改的文件。此外，该木马还具备“延迟激活”功能，潜伏数月后才会发起实质性攻击，从而避开安全软件的初步检测。

一名受害者详细描述了被攻击后的惨痛经历：木马窃取了其 Edge 浏览器中的所有 Cookie 和自动保存的密码，导致包括 PayPal 在内的约 30 个在线账户被攻击者瞬间接管。

攻击者利用窃取的权限，通过 Zoom 扣款等方式盗取了受害者 PayPal 及关联银行账户中的资金。更令人担忧的是，该木马似乎具备横向移动能力，受害者家中通过 Wi-Fi 和蓝牙连接的设备（包括路由器）均出现了感染迹象。

安全专家建议用户严格遵循“官方渠道下载”原则，坚决不点击搜索引擎广告中的软件链接。技术层面，启用 Windows 的 AppLocker 策略可以有效阻止未知或无签名的脚本（如 .js、.vbs）运行，从而切断木马的植入路径。

同时，部署 DNS 过滤工具（如 Cloudflare 的 1.1.1.2）及浏览器广告拦截插件（如 uBlock Origin），也能在一定程度上阻断恶意广告的加载。