En apparence inoffensif, un éditeur de PDF, AppSuite PDF Editor, a été détourné en un outil de cyberespionnage après avoir été téléchargé massivement. Distribué à travers des campagnes Google Ads, ce logiciel s’est insidieusement imposé sur de nombreux ordinateurs, avant de révéler sa véritable nature. Une enquête approfondie révèle les mécanismes de cette attaque et l’ampleur de la diffusion du logiciel malveillant.
L’info résumée en 3 points
- AppSuite PDF Editor, un logiciel PDF, a été transformé en logiciel espion après son installation sur des milliers de PC.
- Le logiciel a été largement promu via Google Ads, ce qui a permis une diffusion massive et rapide.
- La transformation en spyware a été orchestrée via une mise à jour « –fullupdate », introduisant le malware TamperedChef.
La campagne de diffusion via Google Ads
À partir du 26 juin 2025, AppSuite PDF Editor a été proposé au téléchargement sur plusieurs sites, sous couvert de gratuité, ce qui a attiré un grand nombre d’utilisateurs. La campagne publicitaire sur Google Ads a été un levier puissant pour accroître la visibilité du logiciel, qui a ainsi échappé aux radars des antivirus traditionnels. Les utilisateurs, rassurés par l’absence de comportements suspects lors des premiers jours, ont continué à télécharger et à installer le logiciel sans méfiance.
Transformation en logiciel espion
Ce n’est que le 21 août 2025 que le logiciel a révélé sa véritable nature. Une mise à jour discrète, nommée “–fullupdate”, a injecté le malware TamperedChef dans le système des utilisateurs. Cette mise à jour a transformé AppSuite PDF Editor en un infostealer, un logiciel espion, capable de voler des données sensibles telles que les identifiants et les cookies stockés localement.
En plus de collecter des informations confidentielles, le malware s’assure de sa persistance en modifiant le registre Windows. Cette technique garantit son activation à chaque démarrage de l’ordinateur, rendant sa détection et sa suppression difficiles pour les utilisateurs non avertis.
Le rôle des programmes associés
Des programmes connexes, OneStart et Epibrowser, ont également été identifiés par les chercheurs comme étant des PUP, ou programmes potentiellement indésirables. Ces logiciels exécutent en arrière-plan des commandes suspectes, telles que le téléchargement et l’installation d’autres logiciels malveillants. Ils partagent le même serveur de commande et de contrôle que TamperedChef, renforçant ainsi l’efficacité de l’opération malveillante.
Réactions des éditeurs de solutions antivirus
Suite à la découverte de cette campagne, il est probable que les éditeurs de solutions antivirus aient réagi en conséquence. En mettant à jour leurs bases de données virales, ils cherchent à empêcher le téléchargement et l’installation de ce type de logiciel malveillant à l’avenir. Cette vigilance est essentielle pour protéger les utilisateurs de nouvelles attaques.
AppSuite PDF Editor s’inscrit dans un contexte plus large d’attaques informatiques où des logiciels apparemment légitimes sont détournés à des fins malveillantes. Cette affaire rappelle l’importance de la vigilance et des mises à jour régulières des systèmes de sécurité pour prévenir ce type de menaces. Google Ads, souvent utilisé pour promouvoir des produits et services, s’est ici révélé être un vecteur puissant de diffusion pour des intentions malveillantes, soulignant la nécessité de contrôles renforcés sur les publicités en ligne.