Thought Leadership
Eine großangelegte Kampagne namens TamperedChef verbreitet über Google Ads manipulierte PDF-Software. Deutschland ist besonders stark betroffen. Im Fokus steht eine Anwendung namens AppSuite PDF Editor.
Das Managed Detection and Response (MDR)-Team von Sophos hat im September 2025 eine Malvertising-Kampagne aufgedeckt, die unter dem Namen TamperedChef firmiert und mutmaßlich zur größeren EvilAI-Kampagne gehört. Die Angreifer nutzen Google Ads, um einen vermeintlich harmlosen PDF-Editor zu bewerben, der in Wahrheit einen Infostealer auf Windows-Systemen installiert.
Deutschland mit 15 Prozent am stärksten betroffen
Die Kampagne, deren Ursprünge sich bis Ende Juni 2025 zurückverfolgen lassen, hat nach Sophos-Telemetriedaten vor allem deutsche Nutzer im Visier: Etwa 15 Prozent der identifizierten Opfer stammen aus Deutschland, gefolgt von Großbritannien (14 Prozent) und Frankreich (9 Prozent). Besonders betroffen sind Branchen, die stark auf spezialisierte technische Ausrüstung angewiesen sind. Offenbar, weil Mitarbeiter dort häufig online nach Produkthandbüchern suchen.
Täuschung mit AppSuite PDF Editor
Die Cyberkriminellen registrierten zahlreiche Websites, über die sie den “AppSuite PDF Editor” bewarben. Die Anwendung wirkte legitim und funktionsfähig, installierte jedoch im Hintergrund unbemerkt einen Infostealer. Dieser stiehlt gespeicherte Browser-Zugangsdaten und andere sensible Informationen.
Das mehrschichtige Verbreitungsnetzwerk setzt auf fortgeschrittene Taktiken: verzögerte Aktivierungsphasen, gestaffelte Malware-Auslieferung, missbrauchte Codesignaturzertifikate und Umgehung von Endpunktschutz-Mechanismen. “Die Angreifer hinter der TamperedChef-Kampagne entwickelten überzeugende Schadsoftware, nutzten gezielte Werbung für eine großflächige Verbreitung und sicherten sich Codesignaturzertifikate”, erklärt Michael Veit, Cybersecurity-Experte bei Sophos.
Kampagne weiterhin aktiv
Obwohl die von Sophos untersuchten Domains mittlerweile inaktiv sind, läuft die Kampagne laut anderen Forschern weiter. Kontinuierlich werden neue Komponenten entdeckt, die unterstützende Infrastruktur bleibt aktiv. Veit warnt: “Nutzer, die den AppSuite PDF Editor installiert haben, sollten davon ausgehen, dass alle in ihren Browsern gespeicherten Zugangsdaten kompromittiert sind.”
Schutzmaßnahmen und Reaktion
Sophos empfiehlt dringend, keine Software über Werbeanzeigen zu installieren – selbst wenn diese von bekannten Marken zu stammen scheinen. Downloads sollten ausschließlich von offiziellen Herstellerseiten erfolgen. In Unternehmen sollten strikte Anwendungskontrollen implementiert und die browserbasierte Passwortspeicherung deaktiviert werden. Stattdessen sollten genehmigte Passwortmanager und Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommen.
Betroffene Systeme sollten neu aufgesetzt, alle Anmeldeinformationen zurückgesetzt und MFA für alle Konten aktiviert werden. Veit rechnet damit, dass ähnliche Strategien auch künftig zum Einsatz kommen werden: “Angreifer wissen genau, dass Malvertising ein erfolgreicher und effektiver Infektionsweg sein kann.”
