{"id":321680,"date":"2026-02-19T00:04:28","date_gmt":"2026-02-18T23:04:28","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321680"},"modified":"2026-02-18T23:04:53","modified_gmt":"2026-02-18T22:04:53","slug":"pdf-trojaner-tamperedchef-und-schwachstellen-in-pdf-tools","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/19\/pdf-trojaner-tamperedchef-und-schwachstellen-in-pdf-tools\/","title":{"rendered":"PDF-Trojaner TamperedChef und Schwachstellen in PDF-Tools"},"content":{"rendered":"

\"SicherheitIch fasse mal zwei Themen in einem Sammelbeitrag zusammen, die sich um PDF drehen. Es gibt einen PDF-Trojaner mit Namen TamperedChef, der in einer seit Sommer 2025 laufenden Kampagne immer wieder verteilt wird, und aktuell, speziell in Deutschland, massenhaft Zugangsdaten stiehlt. Und Sicherheitsforscher haben Schwachstellen beim Apryse-WebViewer und beim Foxit PDF Cloud Service entdeckt, die komplette Konten\u00fcbernahmen erm\u00f6glichen.<\/p>\n

<\/p>\n

PDF-Trojaner TamperedChef<\/h2>\n

\"\"Ein anonym bleibender Blog-Leser hat im Diskussionsbereich auf einen neuen Sch\u00e4dling namens\u00a0TamperedChef hingewiesen (danke daf\u00fcr). Der Leser schrieb: \"TamperedChef: [Der] PDF-Trojaner stiehlt aktuell massenhaft Zugangsdaten, hatte heute wieder ein solchen Fall. (PDF-Reader.exe)\". Laut Leser wurden alle Cookies und Anmeldedaten aus dem Edge-Browser gestohlen. Das betraf beim Opfer ca. 30 Online-Konten, wobei auch dessen Paypal-Konto \u00fcbernommen worden sein soll. Der Leser schrieb, dass \"Bar per Zoom von Paypal abgebucht wurde\". Dann wurde das Online-Banking-Konto\u00a0 des Opfers \u00fcbernommen. Weiterhin seien alle Daten des PC und Nutzer gestohlen worden.<\/p>\n

Die dringende Empfehlung des Lesers war, keine Software \u00fcber Werbeanzeigen zu installieren \u2013 selbst wenn diese von bekannten Marken zu stammen scheinen. Downloads sollten ausschlie\u00dflich von offiziellen Herstellerseiten erfolgen. Die Aussage lautete zudem, dass der PDF-Trojaner TamperedChef den Microsoft Defender manipuliert habe. Der Virenscanner hat nichts erkannt, da deaktiviert.<\/p>\n

Das Ganze ist nicht so neu, denn die Acronis Threat Research Unit (TRU) hat bereits zum 19. November 2025 \u00fcber TamperedChef berichtet. Im Bericht\u00a0Cooking up trouble: How TamperedChef uses signed apps to deliver stealthy payloads<\/a> schreiben die Sicherheitsforscher, dass sie eine weltweite Malvertising-\/SEO-Kampagne mit Namen TamperedChef beobachtet haben. Bei der Kampagne werden legitim aussehende Installationsprogramme bereitgestellt, die sich als g\u00e4ngige Anwendungen tarnen. Ziel ist es, den Benutzer zur Installation zu verleiten, um sich dann dauerhaft zu etablieren und verschleierte JavaScript-Payloads f\u00fcr den Fernzugriff und die Fernsteuerung zu liefern. Zum 3. Dezember 2025 ist von Acronis dieser deutschsprachige Beitrag<\/a> zum Thema ver\u00f6ffentlicht worden.<\/p>\n

Sophos hat dann Mitte Januar 2026 erneut auf diese Kampagne<\/a> hingewiesen. Fr\u00fchere Berichte \u00fcber diese Kampagne deuten darauf hin, dass sie am 26. Juni 2025 begann. Denn viele der damit verbundenen Websites wurden an diesem Tag registriert oder erstmals identifiziert. Die Websites bewarben \u00fcber Google Ads eine mit einem Trojaner infizierte PDF-Bearbeitungssoftware namens AppSuite PDF Editor. Diese Anwendung erschien den Benutzern als legitim, installierte jedoch bei der Installation unbemerkt einen Infostealer, der auf Windows-Ger\u00e4te abzielte.<\/p>\n

Laut Sophos-Telemetrie befinden sich die meisten Opfer dieser Kampagne in Deutschland (~15 %), Gro\u00dfbritannien (~14 %) und Frankreich (~9 %). Obwohl die Daten eine erhebliche Konzentration in Deutschland und Gro\u00dfbritannien zeigen, spiegelt dies wahrscheinlich eher die weltweite Reichweite der Kampagne wider als eine gezielte Ausrichtung auf bestimmte Regionen. Sophos hat insgesamt 19 betroffene L\u00e4nder identifiziert. Durch Telemetrieanalyse und Threat Hunting konnte Sophos MDR best\u00e4tigen, dass \u00fcber 100 Kundensysteme betroffen waren, bevor unsere Erkennungs- und Reaktionsma\u00dfnahmen begannen.<\/p>\n

Die Opfer dieser Kampagne kommen aus einer Vielzahl von Branchen, insbesondere aus solchen, deren Betrieb stark von spezialisierter technischer Ausr\u00fcstung abh\u00e4ngt \u2013 m\u00f6glicherweise weil Nutzer in diesen Branchen h\u00e4ufig online nach Produkthandb\u00fcchern suchen, ein Verhalten, das die TamperedChef-Kampagne ausnutzt, um sch\u00e4dliche Software zu verbreiten.<\/p>\n

Blog-Leser Bolko wies per Kommentar (danke) auf eine Analyse von truesec.com<\/a> hin. Der Sch\u00e4dling hat eine Verz\u00f6gerungsfunktion eingebaut, so dass infizierte Systeme noch monatelang nicht auffallen (\"verz\u00f6gerte Aktivierungsphasen, gestaffelte Malware-Auslieferung, missbrauchte Codesignaturzertifikate und Umgehung von Endpunktschutz-Mechanismen\"). Er schrieb, dass AppLocker gegen so einen Angriff sch\u00fctzen kann, weil er unbekannte Programme nicht starten l\u00e4sst. DNS-Filter wie Cloudflare Anti-Malware (1.1.1.2) helfen etwas, Browser-Erweiterungen wie Ublock origin und Adguard helfen laut Bolko auch.<\/p>\n

Der anonyme Leser merkte dazu an, dass ganz aktuell eine neue Version im Umlauf sei, die er an Microsoft weitergegeben habe. Der PDF-Trojaner habe die vollst\u00e4ndige Kontrolle einen Rechner mit Windows 11 und Microsoft Edge sowie Outlook (alles in der aktuellen Version) \u00fcbernommen habe. Laut Kommentar seien alle Ger\u00e4te, die per WLAN und Bluetooth erreichbar und eingeschaltet waren, infiziert worden (auch vier Router). Es gab diverse Schaddateien eine *.exe , diverse *.msi (6) , (*.JS) , (*.xml). Die Datei explorer.exe<\/em> von Windows 11 sowie diverse *.sys-Dateien wurden durch infizierte Fassungen ausgetauscht.<\/p>\n

Es sieht so aus, dass JavaScript f\u00fcr die Infektionen diverser Ger\u00e4te verwendet wurde. Es gab eine umfangreiche Diskussion:<\/p>\n

Bolko schrieb \"Im Applocker sollte man die Ausf\u00fchrung von Javascript blockieren, indem man folgende Programme sperrt:<\/p>\n

%SYSTEM32%\\cscript.exe
\n%SYSTEM32%\\wscript.exe<\/p>\n

Beide genannten Programme beziehen sich auf den Windows Script Host. Zudem empfahl Bolko den Task-Planer<\/p>\n

%SYSTEM32%\\schtasks.exe<\/p>\n

in\u00a0Applocker zur Ausf\u00fchrung zu sperren, damit der Sch\u00e4dling keine neuen Tasks erzeugen kann. Halte ich aber f\u00fcr schwierig, da dann andere Aufgaben nicht mehr geplant werden k\u00f6nnen. Der Leser mit dem Infektionsfall schrieb, dass\u00a0 die Dateien\u00a0schtasks.exe, wscript.exe, cscript.exe auch jeweils gegen eine manipulierte signierte Version ausgetauscht wurde. Selbst der Defender (Offline-Version) haben diese infizierten Dateien nicht erkannt.<\/p><\/blockquote>\n

\n
\n

Bolko merkte an, dass Applocker die Dateien (auch bei Infektion) sperrt. Man m\u00fcsse das aber aber manuell im AppLocker als Pfad eintragen. Au\u00dferdem sollte man auch alle TEMP-Ordner in den User-Ordnern und im Windows-Ordner sperren, damit auch Drive-By-Infektionen und Dropper nicht mehr funktionieren. F\u00fcr alle User:<\/p>\n

C:\\Users\\USERNAME\\AppData\\Local\\Temp
\nC:\\Windows\\Temp<\/p>\n

Bei Microsoft gibt es noch JScript.NET, welches mit der jsc.exe compiliert wird. Diesen Compiler gibt es mehrfach, n\u00e4mlich f\u00fcr NET 2 und f\u00fcr NET 4.8.x und jeweils 32-Bit und 64-Bit.<\/p>\n

Im Applocker m\u00fcsste man also mindestens folgende 4 Versionen des Compilers sperren, um die \u00dcbersetzung von JScript.NET in eine EXE zu verhindern und so den Sch\u00e4dling zu behindern, falls er JScript.NET benutzt:<\/p>\n

c:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\jsc.exe
\nc:\\Windows\\Microsoft.NET\\Framework64\\v2.0.50727\\jsc.exe'c:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\jsc.exe
\nc:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\jsc.exe<\/p><\/blockquote>\n

Der anonyme Nutzer erw\u00e4hnte dann noch einen Bug in Windows 11 25H2. Wird in der Systemsteuerung<\/em> unter Netzwerk und Internet\\Netzwerkverbindungen\\Ethernet\u00a0<\/em>die Datei- und Druckerfreigabe abgew\u00e4hlt, werden nur Teile deaktiviert. Nur per PowerShell l\u00e4sst sich die Datei- und Druckerfreigabe wirklich vollst\u00e4ndig deaktivieren.<\/p>\n

\"Datei-<\/a><\/p>\n

Ich habe die Diskussion mal in obigen Text gezogen, da ich die Eintr\u00e4ge im Diskussionsbereich zyklisch l\u00f6sche.<\/p>\n<\/div>\n<\/div>\n

Schwachstellen in PDF-Tools<\/h2>\n

Zudem haben popul\u00e4re PDF-Tools wie der Apryse-WebViewer und der\u00a0 Foxit PDF Cloud Service Schwachstellen. Darauf weist der nachfolgende Tweet und der Artikel hier<\/a> hin.<\/p>\n

\"PDF-Tools<\/a><\/p>\n

Sicherheitsforscher des Penetrationstest-Startups Novee haben mehr als ein Dutzend Sicherheitsl\u00fccken in den genannten PDF-Plattformen entdeckt. Angreifer h\u00e4tten diese Schwachstellen f\u00fcr Konto\u00fcbernahmen, Datenexfiltration und andere Angriffe ausnutzen k\u00f6nnen. Novee hat die Erkenntnisse in diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht.\u00a0Die Ergebnisse wurden an Foxit und Apryse gemeldet und die gemeldeten Schwachstellen sind beseitigt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich fasse mal zwei Themen in einem Sammelbeitrag zusammen, die sich um PDF drehen. Es gibt einen PDF-Trojaner mit Namen TamperedChef, der in einer seit Sommer 2025 laufenden Kampagne immer wieder verteilt wird, und aktuell, speziell in Deutschland, massenhaft Zugangsdaten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[1171,2853,4328,3836],"class_list":["post-321680","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-cloud","tag-pdf","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321680"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321680\/revisions"}],"predecessor-version":[{"id":321685,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321680\/revisions\/321685"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}