Neem contact op
Malware Cybersecurity

TamperedChef malware verborgen in nep PDF-editor richt zich op Europese organisaties

Avinash Shet
Placeholder for Avinash shetAvinash shet

Avinash Shet , SOC Delivery Lead , Nomios Nederland

1 min. leestijd
Placeholder for TamperedChef malware fake PDF editorTamperedChef malware fake PDF editor

Share

Er is een nieuwe malwarecampagne ontdekt: TamperedChef. Deze malware verspreidt zich via een nep PDF-editor, AppSuite PDF Editor, en vormt een serieus risico voor Europese organisaties. De aanvallers hebben meerdere websites nagemaakt en hun campagne via Google Ads gepromoot.

Hoe werkt TamperedChef?

Na installatie blijft de malware ongeveer 56 dagen inactief. Dit komt overeen met de looptijd van een gemiddelde Google Ads-campagne, waardoor de infectie tijdens vroege security checks onopgemerkt blijft.

Wanneer TamperedChef actief wordt:

  • Zorgt het voor blijvende toegang via Windows Registry entries en geplande taken.
  • Steelt het wachtwoorden en sessiecookies uit browsers en andere gevoelige gegevens door browsers geforceerd te sluiten en DPAPI te misbruiken.
  • Controleert het systeem om te zien welke beveiligingssoftware aanwezig is (system reconnaissance).
  • Werkt het als achterdeur om extra malware te downloaden.

Waarom is dit belangrijk?

Er zijn al bevestigde infecties bij Europese bedrijven. Door de lange sluimerperiode hebben aanvallers ruim de tijd om zich onopgemerkt binnen het netwerk te verplaatsen. Bovendien maakt de vergaande verhulling het lastig voor traditionele antivirus om deze dreiging te detecteren.

Acties om direct te ondernemen

  1. Blokkeer of monitor downloads van AppSuite PDF Editor en vergelijkbare tools van niet-officiële bronnen.
  2. Waarschuw medewerkers, vooral degenen die vaak externe software downloaden, om geen PDF-editors van onbetrouwbare sites te installeren.
    • Naar mijn mening is sowieso niet slim om het downloaden van externe software toe te staan als IT-afdeling. Het is belangrijk om medewerkers te waarschuwen voor het gevaar van het downloaden van onbetrouwbare sites.
  3. Voeg detectieregels toe voor persistentie-indicatoren, zoals ongebruikelijke registry entries of geplande taken met namen als PDFEditorUpdater.
  4. Gebruik behavioural detection tools (zoals EDR of Sysmon) voor te signaleren van:
    • Registry autorun entries.
    • Geforceerde sluiting van browsers en pogingen tot DPAPI-toegang.
    • Verdachte uitgaande netwerkverbindingen.
  5. Handhaaf een strikt installatiebeleid met application whitelisting voor goedgekeurde software.
  6. Meld verdachte activiteiten onmiddellijk bij het IT Security-team.

Hoe Nomios kan helpen

Nomios ondersteunt organisaties bij het bestrijden van geavanceerde dreigingen zoals TamperedChef met cybersecurity-oplossingen en managed services. Onze Managed Detection and Response (MDR)-dienst biedt 24/7 monitoring, geavanceerde dreigingsdetectie en snelle incidentrespons. Daarnaast leveren we endpoint security, EDR-oplossingen en security awareness programma’s om het risico op malware-infecties te verkleinen.

Wil je jouw security posture versterken tegen aanvallen zoals TamperedChef? Neem contact op met onze experts.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates

Placeholder for Verdedigen tegen machine-gedreven aanvallenVerdedigen tegen machine-gedreven aanvallen

Cybersecurity

Verdedigen tegen machine-gedreven aanvallen op elk niveau

Leer hoe je machine-gedreven aanvallen afweert met gelaagde strategieën: technologie, beleid, mensen, Zero Trust en weerbaarheidstests.

Usman
Placeholder for UsmanUsman

Usman

3 min. leestijd
Placeholder for Offshore windmill parkOffshore windmill park

OT security

Waarom OT-security onmisbaar is voor energie- en industriële organisaties

Beveilig OT-systemen in de olie- en energiesector tegen ransomware, insider threats en APT’s met cybersecurity die speciaal is ontwikkeld voor kritieke infrastructuur.

Ahmed Mahmoud
Placeholder for Ahmed MahmoudAhmed Mahmoud

Ahmed Mahmoud

5 min. leestijd
Placeholder for SASE alphabet soupSASE alphabet soup

SASE SSE

De alfabetsoep van SASE: CASB vs. SWG, FWaaS en meer

Leer hoe SASE netwerken en in de cloud geleverde security tools zoals SWG, CASB, ZTNA en FWaaS combineert om gebruikers, apps en gegevens in je hele organisatie te beschermen.

5 min. leestijd
Alle artikelen