近期全球網路安全界傳出重大警訊，國家網路安全中心（NCSC）與多家資安研究機構共同揭露一場利用假冒PDF編輯器進行的惡意軟體散佈活動。這場行動的主要目標是透過誘騙使用者下載並安裝名為「AppSuite PDF Editor」的惡意程式，進而竊取受害者的敏感資訊。

這場惡意軟體活動背後的主謀精心策劃了一系列攻擊手法。首先，攻擊者架設了數個偽造的網站，這些網站外觀逼真，旨在吸引使用者搜尋免費PDF編輯器時，誤以為它們是合法且安全的軟體下載來源。接著，他們利用Google廣告投放，大量推廣這些偽造網站，使得使用者在搜尋相關關鍵字時，這些惡意連結更容易出現在搜尋結果的前列。

當使用者被誘導至這些網站並下載、安裝名為「AppSuite PDF Editor」的軟體後，表面上程式看似能正常運作，提供PDF編輯功能。然而，這款軟體實際上是一個精心偽裝的木馬程式。它不僅會在背景偷偷與外部伺服器連線，下載名為「TamperedChef」的資訊竊取惡意軟體，更會透過修改Windows登錄檔，確保該惡意程式在系統重啟後能自動執行，達到持久性的目的。

值得注意的是，這款惡意軟體具備高度的隱蔽性。資安研究人員發現，「TamperedChef」在安裝後會進入長達約56天的「休眠期」。這個延遲啟動的設計極為狡猾，它與Google廣告活動的典型週期相符，旨在避開初期的資安掃描與檢測。由於惡意行為並非立即發生，使用者很難在第一時間察覺異常，使得攻擊者有足夠時間在受害者系統中建立立足點，並進行橫向移動。

一旦休眠期結束，「TamperedChef」就會被遠端激活。其主要惡意行為包括：

1. 竊取敏感資訊： 惡意軟體會嘗試終止網頁瀏覽器進程，以獲取並竊取儲存在其中的敏感數據，例如登入憑證、cookies和個人資料。

2. 逃避偵測： 惡意軟體會收集系統中已安裝的資安產品清單，並使用複雜的混淆技術，使其代碼難以被傳統的防毒軟體偵測。一些研究甚至指出，其混淆代碼可能是由人工智慧或大型語言模型（LLM）生成的，這使得惡意軟體能夠快速產生獨特的變體，進一步規避基於簽章的偵測。

3. 持久性與後門： 惡意軟體會修改系統登錄檔、建立排程任務，以確保其在系統中能夠長期存留，並為攻擊者提供持續的後門存取權限。

為了防範這類日益複雜的網路攻擊，NCSC與專家建議企業與個人應立即採取以下措施：

• 僅從官方來源下載軟體： 避免從不知名的網站或透過廣告連結下載任何軟體，尤其是免費工具。應優先選擇官方網站或信譽良好的應用程式商店。

• 提高警覺性： 提醒員工或家人，對所有未經驗證的軟體下載保持警惕，並教育他們識別釣魚網站和惡意廣告的能力。

• 部署多層次資安防護： 確保電腦系統配備最新的防毒軟體、端點偵測與回應（EDR）解決方案，並啟用多因子驗證（MFA）。

• 定期掃描與更新： 建議定期對系統進行全面掃描，並確保所有作業系統與應用程式皆已安裝最新修補程式。

這起攻擊再次證明，網路犯罪分子不斷進化其手法。使用者必須時刻保持警覺，並採取主動的防禦措施，才能有效保護自己的數位資產與隱私安全。

資料來源：https://dailysecurityreview.com/cyber-security/ncsc-warns-of-malware-campaign-using-fake-pdf-editors/