60 días de espera: un editor de PDF «gratuito» convirtió las computadoras de otras personas en una red de proxies y robó todas las contraseñas

Especialistas de Truesec informaron sobre una amplia campaña maliciosa en la que los atacantes promocionaban mediante Google Ads una aplicación falsa para editar PDF llamada AppSuite PDF Editor. Tras esa apariencia de legitimidad se ocultaba el infostealer TamperedChef, capaz de extraer información confidencial de los dispositivos infectados.

El análisis mostró que detrás de la operación hay un grupo bien organizado que emplea varias aplicaciones capaces de descargarse entre sí e implicar los sistemas de las víctimas en esquemas que usan proxies residentes. Algunos de esos programas también engañan a los usuarios, ofreciendo el uso gratuito de funciones a cambio de aceptar que sus equipos formen parte de una red de proxies.

Truesec identificó más de 50 dominios que alojaban compilaciones maliciosas firmadas con certificados digitales falsos de al menos cuatro empresas distintas, entre ellas ECHO Infini SDN BHD, GLINT By J SDN. BHD y SUMMIT NEXUS Holdings LLC.

Según el informe técnico de Truesec, la actividad maliciosa de TamperedChef no se activaba de inmediato. Al principio la aplicación se comportaba como un editor de PDF normal y solo el 21 de agosto —casi dos meses después del inicio de la campaña publicitaria— recibió una actualización que lanzó las funciones maliciosas. Fue entonces cuando en el sistema del usuario se instaló una versión maliciosa con el argumento -fullupdate, que activa el infostealer.

La aplicación infectada comprueba la presencia de soluciones de seguridad en la máquina y luego extrae datos de los navegadores, utilizando el componente de Windows DPAPI (Data Protection API) —el mecanismo estándar para proteger información sensible—. Esto permite a TamperedChef robar contraseñas, cookies y otros datos personales almacenados en los sistemas de los usuarios.

La investigación reveló que los atacantes emplearon al menos cinco identificadores únicos de campañas de Google Ads, lo que sugiere una distribución amplia y dirigida. Además, la actividad maliciosa se activaba más cerca del final del periodo de 60 días de vigencia de los anuncios, lo que podría indicar una estrategia para maximizar el número de descargas antes de habilitar la funcionalidad maliciosa.

Los programas se difundieron a través de decenas de sitios que publicitaban AppSuite PDF Editor como una herramienta gratuita y cómoda. Entre los ejecutables descargados había otras aplicaciones como OneStart y Epibrowser —navegadores que antes se clasificaban como programas potencialmente no deseados (PUP) pero que en este caso mostraban comportamientos propios de software malicioso.

Paralelamente a Truesec, la investigación fue realizada por analistas de la empresa Expel. Confirmaron que OneStart, AppSuites PDF y otro componente llamado ManualFinder pueden ejecutar comandos sospechosos, descargar módulos maliciosos y registrar dispositivos en redes de proxies residentes.

En algunos casos a los usuarios se les mostró una ventana que ofrecía usar el editor de PDF de forma gratuita a cambio de permitir que su dispositivo se empleara como parte de la infraestructura de proxies. Los investigadores advierten que el proveedor de la red de proxies puede ser una empresa legítima no vinculada directamente a la campaña, y que los atacantes actúan como afiliados que obtienen beneficio a costa de los usuarios.

Aunque algunos de los programas mencionados se clasifican formalmente como PUP, los investigadores subrayan que por su funcionalidad encajan totalmente en los criterios de software malicioso. La instalación de estas aplicaciones puede provocar no solo la fuga de datos, sino también el uso descontrolado de los sistemas en esquemas de proxificación y la posterior propagación de amenazas.

Truesec y Expel publicaron informes completos con una gran cantidad de indicadores IoC, para que administradores y especialistas en seguridad puedan detectar sistemas infectados y prevenir la compromisión de la infraestructura.