Ich fasse mal zwei Themen in einem Sammelbeitrag zusammen, die sich um PDF drehen. Es gibt einen PDF-Trojaner mit Namen TamperedChef, der in einer seit Sommer 2025 laufenden Kampagne immer wieder verteilt wird, und aktuell, speziell in Deutschland, massenhaft Zugangsdaten stiehlt. Und Sicherheitsforscher haben Schwachstellen beim Apryse-WebViewer und beim Foxit PDF Cloud Service entdeckt, die komplette Kontenübernahmen ermöglichen.
PDF-Trojaner TamperedChef
Ein anonym bleibender Blog-Leser hat im Diskussionsbereich auf einen neuen Schädling namens TamperedChef hingewiesen (danke dafür). Der Leser schrieb: "TamperedChef: [Der] PDF-Trojaner stiehlt aktuell massenhaft Zugangsdaten, hatte heute wieder ein solchen Fall. (PDF-Reader.exe)". Laut Leser wurden alle Cookies und Anmeldedaten aus dem Edge-Browser gestohlen. Das betraf beim Opfer ca. 30 Online-Konten, wobei auch dessen Paypal-Konto übernommen worden sein soll. Der Leser schrieb, dass "Bar per Zoom von Paypal abgebucht wurde". Dann wurde das Online-Banking-Konto des Opfers übernommen. Weiterhin seien alle Daten des PC und Nutzer gestohlen worden.
Die dringende Empfehlung des Lesers war, keine Software über Werbeanzeigen zu installieren – selbst wenn diese von bekannten Marken zu stammen scheinen. Downloads sollten ausschließlich von offiziellen Herstellerseiten erfolgen. Die Aussage lautete zudem, dass der PDF-Trojaner TamperedChef den Microsoft Defender manipuliert habe. Der Virenscanner hat nichts erkannt, da deaktiviert.
Das Ganze ist nicht so neu, denn die Acronis Threat Research Unit (TRU) hat bereits zum 19. November 2025 über TamperedChef berichtet. Im Bericht Cooking up trouble: How TamperedChef uses signed apps to deliver stealthy payloads schreiben die Sicherheitsforscher, dass sie eine weltweite Malvertising-/SEO-Kampagne mit Namen TamperedChef beobachtet haben. Bei der Kampagne werden legitim aussehende Installationsprogramme bereitgestellt, die sich als gängige Anwendungen tarnen. Ziel ist es, den Benutzer zur Installation zu verleiten, um sich dann dauerhaft zu etablieren und verschleierte JavaScript-Payloads für den Fernzugriff und die Fernsteuerung zu liefern. Zum 3. Dezember 2025 ist von Acronis dieser deutschsprachige Beitrag zum Thema veröffentlicht worden.
Sophos hat dann Mitte Januar 2026 erneut auf diese Kampagne hingewiesen. Frühere Berichte über diese Kampagne deuten darauf hin, dass sie am 26. Juni 2025 begann. Denn viele der damit verbundenen Websites wurden an diesem Tag registriert oder erstmals identifiziert. Die Websites bewarben über Google Ads eine mit einem Trojaner infizierte PDF-Bearbeitungssoftware namens AppSuite PDF Editor. Diese Anwendung erschien den Benutzern als legitim, installierte jedoch bei der Installation unbemerkt einen Infostealer, der auf Windows-Geräte abzielte.
Laut Sophos-Telemetrie befinden sich die meisten Opfer dieser Kampagne in Deutschland (~15 %), Großbritannien (~14 %) und Frankreich (~9 %). Obwohl die Daten eine erhebliche Konzentration in Deutschland und Großbritannien zeigen, spiegelt dies wahrscheinlich eher die weltweite Reichweite der Kampagne wider als eine gezielte Ausrichtung auf bestimmte Regionen. Sophos hat insgesamt 19 betroffene Länder identifiziert. Durch Telemetrieanalyse und Threat Hunting konnte Sophos MDR bestätigen, dass über 100 Kundensysteme betroffen waren, bevor unsere Erkennungs- und Reaktionsmaßnahmen begannen.
Die Opfer dieser Kampagne kommen aus einer Vielzahl von Branchen, insbesondere aus solchen, deren Betrieb stark von spezialisierter technischer Ausrüstung abhängt – möglicherweise weil Nutzer in diesen Branchen häufig online nach Produkthandbüchern suchen, ein Verhalten, das die TamperedChef-Kampagne ausnutzt, um schädliche Software zu verbreiten.
Blog-Leser Bolko wies per Kommentar (danke) auf eine Analyse von truesec.com hin. Der Schädling hat eine Verzögerungsfunktion eingebaut, so dass infizierte Systeme noch monatelang nicht auffallen ("verzögerte Aktivierungsphasen, gestaffelte Malware-Auslieferung, missbrauchte Codesignaturzertifikate und Umgehung von Endpunktschutz-Mechanismen"). Er schrieb, dass AppLocker gegen so einen Angriff schützen kann, weil er unbekannte Programme nicht starten lässt. DNS-Filter wie Cloudflare Anti-Malware (1.1.1.2) helfen etwas, Browser-Erweiterungen wie Ublock origin und Adguard helfen laut Bolko auch.
Der anonyme Leser merkte dazu an, dass ganz aktuell eine neue Version im Umlauf sei, die er an Microsoft weitergegeben habe. Der PDF-Trojaner habe die vollständige Kontrolle einen Rechner mit Windows 11 und Microsoft Edge sowie Outlook (alles in der aktuellen Version) übernommen habe. Laut Kommentar seien alle Geräte, die per WLAN und Bluetooth erreichbar und eingeschaltet waren, infiziert worden (auch vier Router). Es gab diverse Schaddateien eine *.exe , diverse *.msi (6) , (*.JS) , (*.xml). Die Datei explorer.exe von Windows 11 sowie diverse *.sys-Dateien wurden durch infizierte Fassungen ausgetauscht.
Es sieht so aus, dass JavaScript für die Infektionen diverser Geräte verwendet wurde. Es gab eine umfangreiche Diskussion:
Bolko schrieb "Im Applocker sollte man die Ausführung von Javascript blockieren, indem man folgende Programme sperrt:
%SYSTEM32%\cscript.exe
%SYSTEM32%\wscript.exeBeide genannten Programme beziehen sich auf den Windows Script Host. Zudem empfahl Bolko den Task-Planer
%SYSTEM32%\schtasks.exe
in Applocker zur Ausführung zu sperren, damit der Schädling keine neuen Tasks erzeugen kann. Halte ich aber für schwierig, da dann andere Aufgaben nicht mehr geplant werden können. Der Leser mit dem Infektionsfall schrieb, dass die Dateien schtasks.exe, wscript.exe, cscript.exe auch jeweils gegen eine manipulierte signierte Version ausgetauscht wurde. Selbst der Defender (Offline-Version) haben diese infizierten Dateien nicht erkannt.
Schwachstellen in PDF-Tools
Zudem haben populäre PDF-Tools wie der Apryse-WebViewer und der Foxit PDF Cloud Service Schwachstellen. Darauf weist der nachfolgende Tweet und der Artikel hier hin.
Sicherheitsforscher des Penetrationstest-Startups Novee haben mehr als ein Dutzend Sicherheitslücken in den genannten PDF-Plattformen entdeckt. Angreifer hätten diese Schwachstellen für Kontoübernahmen, Datenexfiltration und andere Angriffe ausnutzen können. Novee hat die Erkenntnisse in diesem Blog-Beitrag veröffentlicht. Die Ergebnisse wurden an Foxit und Apryse gemeldet und die gemeldeten Schwachstellen sind beseitigt.
MVP: 2013 – 2016
Der anonyme Nutzer erwähnte dann noch einen Bug in Windows 11 25H2. Wird in der Systemsteuerung unter Netzwerk und Internet\Netzwerkverbindungen\Ethernet die Datei- und Druckerfreigabe abgewählt, werden nur Teile deaktiviert. Nur per PowerShell lässt sich die Datei- und Druckerfreigabe wirklich vollständig deaktivieren.
Ich habe die Diskussion mal in obigen Text gezogen, da ich die Einträge im Diskussionsbereich zyklisch lösche.