Cos'è TamperedChef e come difendersi dal malware nei falsi editor PDF

Una campagna di malvertising sta diffondendo un nuovo malware chiamato TamperedChef, nascosto in un falso editor PDF promosso tramite annunci sponsorizzati sui motori di ricerca. La minaccia, analizzata dai ricercatori di sicurezza, è attiva da giugno 2025 e ha già colpito centinaia di sistemi Windows in diversi Paesi europei.

Il software usato come esca si chiama AppSuite PDF Editor: si presenta come uno strumento gratuito per modificare documenti PDF, ma in realtà installa in modo silenzioso un infostealer, cioè un programma progettato per rubare password e dati sensibili memorizzati sul computer.

Fastweb Mobile Pro

11,95€/mese

Internet 250 GB e Minuti illimitati

Spedizione SIM GRATIS

Spedizione SIM GRATIS

scopri

Il meccanismo è semplice: l’utente cerca online un manuale o un editor PDF, clicca su un risultato sponsorizzato e viene reindirizzato a un sito che imita un servizio legittimo. Una volta scaricato il file di installazione, il malware si attiva in background.

Cos’è TamperedChef e come funziona

TamperedChef è un malware per Windows distribuito attraverso annunci pubblicitari ingannevoli su Google e Bing. Dopo il download del file denominato AppSuite-PDF.msi, l’installer rilascia componenti nascosti nel sistema, modifica il registro di Windows e crea attività pianificate per garantirsi la persistenza anche dopo il riavvio.

Una delle caratteristiche più insidiose è il periodo di “dormienza”: il malware può restare inattivo per circa 56 giorni prima di attivare le funzioni di furto dati. Quando entra in azione, TamperedChef è in grado di:

• Terminare i browser aperti.
• Estrarre password, cookie e dati di compilazione automatica.
• Comunicare con server remoti per inviare le informazioni raccolte.
• Scaricare ulteriori componenti malevoli, trasformando il dispositivo in una backdoor.

Secondo le analisi, il software ha utilizzato anche certificati di firma digitale validi (poi revocati) per apparire affidabile e superare i controlli di sicurezza di Windows.

Come difendersi dal malware nei falsi editor PDF

Il vettore principale dell’attacco è il malvertising, cioè la pubblicità online usata per distribuire software infetto. Per questo motivo la prima difesa è prestare attenzione ai link sponsorizzati.

Per ridurre il rischio è consigliabile:

• Scaricare programmi solo dai siti ufficiali dei produttori: evitare download provenienti da banner pubblicitari o da domini poco noti.
• Non salvare password importanti nei browser: gli infostealer puntano proprio ai dati memorizzati localmente.
• Utilizzare un password manager con autenticazione a due fattori.
• Mantenere Windows e l’antivirus aggiornati.

In caso di sospetta infezione è opportuno eseguire una scansione completa del sistema, cambiare immediatamente tutte le password e attivare l’autenticazione a due fattori sugli account principali. Se il malware si è infiltrato nel dispositivo, potrebbe essere necessario valutare una reinstallazione del sistema operativo.

TamperedChef dimostra come anche un semplice editor PDF gratuito possa diventare un veicolo per il furto di credenziali. Quando si scarica un software, soprattutto tramite annunci online, la prudenza resta la prima forma di difesa.

Per saperne di più: Sicurezza informatica, quali sono le minacce e come riconoscerle

A cura di Cultur-e