TamperedChef: Trojaner tarnt sich als PDF-Editor

Eine raffinierte Malware-Kampagne lockt Nutzer mit kostenloser PDF-Software in die Falle. Die als „TamperedChef“ bekannte Schadsoftware stiehlt Browser-Daten und öffnet Hintertüren für weitere Angriffe.

Cybersecurity-Experten warnen vor einer europaweiten Malvertising-Offensive, die bereits mehrere Unternehmen kompromittiert hat. Die Angreifer nutzen die Nachfrage nach kostenlosen PDF-Bearbeitungstools aus und verbreiten über Online-Werbung eine scheinbar legitime, aber bösartige Anwendung namens „AppSuite PDF Editor“.

Der Trojaner zeigt die wachsenden Sicherheitsrisiken kostenloser Produktivitäts-Software deutlich auf. Besonders perfide: Die Software funktioniert zunächst einwandfrei und erweckt keine Verdachtsmomente.

Wie die Attacke abläuft

Die „TamperedChef“-Kampagne beginnt harmlos. Nutzer suchen nach kostenlosen PDF-Editoren und klicken auf manipulierte Werbeanzeigen. Diese leiten sie zu professionell gestalteten Websites weiter, die den „AppSuite PDF Editor“ hosten.

Der Installer wirkt seriös und präsentiert sogar eine Standard-Lizenzvereinbarung. Im Hintergrund jedoch stellt die Software eine Verbindung zu Angreifer-kontrollierten Servern her und lädt die „TamperedChef“-Malware nach.

Laut der Sicherheitsfirma WithSecure ist die Kampagne besonders heimtückisch: Der PDF-Editor erfüllt zunächst seinen beworbenen Zweck. Die Malware verharrt monatelang im Schlafmodus – möglicherweise seit dem 26. Juni 2025. Diese verlängerte Ruhephase hilft dabei, Sicherheitssoftware zu umgehen.

Am 21. August 2025 wurde die Schadsoftware schließlich aktiviert. Seitdem erntet sie aggressiv Browser-gespeicherte Zugangsdaten, Cookies und Verlaufsdaten von infizierten Systemen. Das Programm zielt speziell auf Chromium-basierte Browser ab und nutzt die Windows Data Protection API (DPAPI), um an geschützte Daten zu gelangen.

Hartnäckiger und entwicklungsfähiger Gegner

Besonders beunruhigend ist der Persistenz-Mechanismus der Malware. „TamperedChef“ modifiziert Systemeinstellungen, einschließlich der Windows-Registry, und erstellt geplante Aufgaben für automatische Starts bei jedem Neustart. Durchschnittsnutzer können die Malware daher kaum vollständig entfernen.

Selbst nach der Entdeckung der ersten bösartigen Version veröffentlichten die Angreifer bereinigte Versionen des PDF-Editors. Diese neueren Varianten entfernten zwar den offensichtlichen Code zum Diebstahl von Zugangsdaten, behielten aber eine Verbindung zur Angreifer-Infrastruktur bei – eine offene Hintertür für künftige Angriffe.

Sicherheitsforscher von Truesec und G DATA bestätigten, dass mehrere betrügerische Websites zur Verbreitung der trojanisierten Software über verschiedene Google-Werbekampagnen genutzt wurden. Die deutsche Cybersecurity-Firma G DATA bezeichnete den „AppSuite PDF Editor“ als „klassisches trojanisches Pferd mit Hintertür“.

PDF-Software unter Beschuss

Die „TamperedChef“-Kampagne steht nicht allein da. PDF-Dateien sind ein beliebter Angriffsvektor, da sie verschiedene aktive Elemente wie Skripte und Links enthalten können. Angreifer können bösartiges JavaScript oder Links in PDF-Dokumente einbetten, die beim Öffnen Malware installieren oder Nutzer auf Phishing-Websites umleiten.

Selbst etablierte PDF-Software-Anbieter mussten kürzlich erhebliche Sicherheitslücken schließen. Schwachstellen in beliebten Tools wie Foxit PDF Editor und PDF-XChange ermöglichten Remote-Code-Ausführung. Sogar Adobe Acrobat Reader musste Use-after-Free-Verwundbarkeiten patchen, die über bösartige PDF-Dateien zur Systemübernahme genutzt werden konnten.
Anzeige: Passend zum Thema PDF-Sicherheit: Viele Drittanbieter-Tools wirken seriös – doch schon ein Fehlklick kann Daten kosten. Der kostenlose Report „Adobe Acrobat Reader Startpaket“ zeigt Schritt für Schritt, wie Sie den offiziellen Reader sicher installieren, aktualisieren und nur die kostenlosen Funktionen nutzen (Kommentieren, Markieren, Speichern, Drucken) – ohne teure Fehlklicks. Jetzt kostenlosen Acrobat-Report laden

Der Köder „Kostenlos“

Die „TamperedChef“-Kampagne zeigt klassisches Social Engineering: Die Angreifer nutzen ein grundlegendes Nutzerbedürfnis aus – PDF-Bearbeitung ohne teure Software-Käufe. Sie investierten in eine überzeugende Nutzererfahrung, von professionell wirkenden Download-Seiten bis zur voll funktionsfähigen Köder-Anwendung.

Malvertising – bösartige Online-Werbung – war entscheidend für den Erfolg. Durch die Nutzung legitimer Werbeplattformen erreichten die Angreifer ein breites Publikum von Nutzern, die aktiv nach der beworbenen Software suchten. Die anfängliche Schlafphase war ein kalkulierter Schachzug, um Vertrauen aufzubauen und automatisierte Sicherheitssysteme zu umgehen.

Erhöhte Wachsamkeit erforderlich

Solange Nachfrage nach kostenloser Software besteht, werden Cyberkriminelle diese als Köder nutzen. Weitere ausgeklügelte Angriffe mit trojanisierten Anwendungen sind zu erwarten – sowohl gegen Privatnutzer als auch Unternehmensnetzwerke. Besonders brisant: Die Malware benötigte keine Administrator-Rechte für die Installation.

Cybersecurity-Firmen werden weiterhin neue Varianten überwachen und ihre Erkennungsfähigkeiten aktualisieren. Die letzte Verteidigungslinie bleibt jedoch der Nutzer selbst. Sicherheitsexperten raten dringend zu äußerster Vorsicht beim Download kostenloser Software: Anwendungen nur von offiziellen und seriösen Websites beziehen, bei Online-Werbung für kostenlose Tools skeptisch bleiben und robuste Sicherheitssoftware einsetzen.
Anzeige: Für alle, die PDFs täglich nutzen: Diese Gratis-Funktionen im neuen Acrobat Reader kennen viele nicht. Der kostenlose Report erklärt, wo sie versteckt sind und wie Sie Bezahlbereiche ausblenden – ideal für Einsteiger, die PDFs sicher öffnen und weiterleiten möchten. Kostenlosen Acrobat-Guide anfordern

Unternehmen sollten ihren Mitarbeitern genehmigte Software-Alternativen bereitstellen, um die Versuchung zu reduzieren, potenziell bösartige kostenlose Programme herunterzuladen.