شنّت جهات تهديد حملة خبيثة مؤخراً، استغلت خلالها إعلانات جوجل لتوزيع برمجيات خبيثة تستهدف سرقة المعلومات، وتحديداً برامج تعديل ملفات PDF. تم اكتشاف هذه العملية التي تهدف إلى اختراق أجهزة ويندوز، وسط قلق متزايد بشأن تزايد حملات البرمجيات الخبيثة التي تستهدف المستخدمين عبر محركات البحث.
بدأت الحملة في يونيو 2025، حيث قام المهاجمون بتسجيل مواقع إلكترونية تبدو شرعية وتروج لبرنامج يتضمن رمزاً خبيثاً. لقد أوقعوا المستخدمين في فخ تحميل برامج تعديل PDF ليبدو الأمر كعملية تثبيت عادية، لكن المثبت الفعلي كان يحتوي على تعليمات سرية لسرقة بيانات المتصفح.
مدى انتشار حملة TamperedChef عبر إعلانات جوجل
تُظهر التحقيقات أن هذه الحملة الخبيثة، التي تم رصدها في سبتمبر 2025، قد أثرت على مستخدمي ويندوز في جميع أنحاء العالم. استهدف المهاجمون الأشخاص الذين يبحثون عن أدلة استخدام للأجهزة أو أدوات لتعديل ملفات PDF، مستفيدين من سلوكيات البحث الشائعة لنشر العدوى بصمت.
بدأت العملية رسمياً في 26 يونيو 2025، عندما قام المهاجمون بتسجيل نطاقات تشبه مواقع برامج تعديل ملفات PDF الشرعية، مثل AppSuite PDF Editor. لقد سعوا لإيهام المستخدمين بأنهم يقومون بتنزيل تطبيقات أصلية، بينما كان المثبت في الواقع يحمل رمزاً خبيثاً مصمماً لسرقة بيانات حساسة من المتصفحات.
ما يميز هذا الهجوم هو التوقيت الاستراتيجي: فقد ظل البرنامج الخبيث خاملاً لمدة 56 يوماً تقريباً، وهي مدة تتوافق مع الدورات النموذجية للحملات الإعلانية. هذا التأخير المتعمد سمح للبرنامج الخبيث بإصابة أكبر عدد ممكن من الأجهزة قبل أن يبدأ في إظهار سلوكه الضار.
تأثير الحملة الجغرافي والصناعي
كشف محللو برنامج Sophos عن هذه التهديدات بعد اكتشاف أكثر من 100 نظام عميل متضرر خلال عملياتهم للكشف والاستجابة المُدارة. أشارت تحقيقاتهم إلى أن معظم الضحايا كانوا في ألمانيا والمملكة المتحدة وفرنسا، ولكن الحملة أثرت على 19 دولة على الأقل عالمياً.
استهدف المهاجمون صناعات تعتمد على معدات متخصصة، حيث يميل الموظفون للبحث عن أدلة استخدام المنتجات عبر الإنترنت. لقد استغل المهاجمون هذا السلوك بشكل منهجي لنشر المثبت الخبيث، مما يعكس فهماً عميقاً لأهدافهم.
آلية عمل TamperedChef: عدوى هادئة وخفية
تُظهر آلية الإصابة بـ TamperedChef تكتيكات نشر متطورة متعددة المراحل تهدف إلى التهرب من الكشف. يبدأ المستخدمون بالنقر على إعلانات خبيثة تظهر في نتائج البحث على منصات مثل جوجل وبينغ.
توجّه هذه الإعلانات المستخدمين إلى مواقع ويب خادعة مثل fullpdf.com و pdftraining.com، حيث يقومون بتنزيل المثبت (Appsuite-PDF.msi). عند تشغيل هذا الملف، يقوم بإنزال ملف تنفيذي يسمى PDFEditorSetup.exe، بالإضافة إلى ملف جافاسكريبت مشفر وملف تنفيذي آخر.
يقوم PDFEditorSetup.exe بعد ذلك بإنشاء نقاط استمرار بصمت من خلال إنشاء إدخالات سجل ويندوز ومهام مجدولة، مما يضمن بقاء البرنامج الخبيث فعالاً بعد إعادة تشغيل النظام. وأخيراً، يقوم المثبت بتثبيت PDF Editor.exe، وهو المكون الفعلي الذي يسرق المعلومات، والذي بدأ العمل في 21 أغسطس 2025 لجمع بيانات اعتماد المتصفح، وملفات تعريف الارتباط، وبيانات الملء التلقائي.
عزز المهاجمون عملياتهم من خلال إساءة استخدام شهادات توقيع الشفرات الشرعية من كيانات مسجلة في الولايات المتحدة وماليزيا، مما مكّن ملفاتهم الخبيثة من تجاوز حماية Windows SmartScreen وتبدو موثوقة للمستخدمين غير المطلعين. تُظهر هذه العملية متعددة الطبقات كيف تجمع الجهات التهديدية الحديثة بين البرمجيات الخبيثة الإعلانية، وواجهات البرامج التي تبدو شرعية، وتقنيات التهرب على مستوى النظام لزيادة نجاح الإصابة وتقليل الكشف المبكر.