.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Nel settembre 2025, i team Sophos Managed Detection and Response (MDR) hanno individuato una campagna di malvertising che distribuiva un infostealer denominato TamperedChef, ritenuto parte di una campagna più ampia nota come EvilAI.
Le precedenti analisi su questa campagna suggeriscono che abbia avuto inizio il 26 giugno 2025, con molti dei siti web associati registrati o identificati per la prima volta in quella data. I siti promuovevano, tramite Google Ads, un’applicazione di modifica PDF trojanizzata chiamata AppSuite PDF Editor. Questa applicazione appariva legittima agli utenti, ma in realtà, una volta installata, distribuiva silenziosamente un infostealer, prendendo di mira dispositivi Windows.
Attraverso l’analisi della telemetria e attività di threat hunting, Sophos MDR ha confermato che oltre 100 sistemi dei clienti sono stati colpiti prima dell’avvio delle nostre attività di rilevamento e risposta.
Secondo la telemetria Sophos, la maggior parte delle vittime colpite da questa campagna si trova in Germania (circa 15%), Regno Unito (circa 14%) e Francia (circa 9%). Sebbene i dati mostrino una concentrazione significativa in Germania e nel Regno Unito, è probabile che ciò rifletta la portata globale della campagna piuttosto che un targeting deliberato di aree specifiche; in totale abbiamo identificato 19 Paesi coinvolti.
Le vittime di questa campagna appartengono a diversi settori industriali, in particolare quelli in cui le attività dipendono fortemente da apparecchiature tecniche specializzate – probabilmente perché gli utenti di questi ambiti cercano frequentemente online manuali di prodotto, un comportamento che la campagna TamperedChef sfrutta per distribuire software malevolo.
Ulteriori indagini hanno rivelato che questa ampia rete di distribuzione multilivello impiegava numerose tecniche avanzate, tra cui un periodo di attivazione ritardata o di dormienza, software esca, distribuzione del payload a più fasi, abuso di certificati di firma del codice e tentativi di eludere i meccanismi di protezione degli endpoint.
Secondo altri ricercatori, la campagna risulta ancora attiva, con nuovi componenti che continuano a emergere e infrastrutture di supporto tuttora operative (sebbene i domini osservati nelle nostre indagini sembrino ora inattivi).
Nota: mentre i team Sophos MDR stavano analizzando questa minaccia, siamo venuti a conoscenza di ulteriori ricerche su TamperedChef pubblicate da TrueSec, WithSecure, G Data e altri. La nostra analisi conferma e convalida alcuni di questi risultati.
Leggi tutto l’articolo: https://www.sophos.com/it-it/blog/tamperedchef-serves-bad-ads-with-infostealers-as-the-main-course