TamperedChef: Schädliche Google Ads infizieren Windows-Nutzer

Eine raffinierte Cyberkriminellen-Kampagne nutzt manipulierte Google-Anzeigen, um Windows-Nutzer mit dem Datendiebstahl-Trojaner TamperedChef zu infizieren. Die seit September 2025 aktive Operation tarnt sich als seriöser PDF-Editor, bleibt fast zwei Monate inaktiv und erbeutet dann sensible Browserdaten. Besonders betroffen sind Nutzer in Deutschland und Europa.

Angriffsweg: Gefälschte Software aus Werbeanzeigen

Der Angriff beginnt harmlos: Nutzer suchen online nach einem PDF-Editor. Über Google Ads und manipulierte Suchergebnisse landen sie auf professionell wirkenden Webseiten wie fullpdf.com. Diese bieten einen vermeintlich legitimen „AppSuite PDF Editor“ zum Download an. Das Programm täuscht sogar einen Nutzungsvertrag vor. Nach der Installation verschafft sich der Schädling dauerhaften Zugriff auf das System. Die Betreiber nutzten mindestens 16 gefälschte Webseiten und fünf separate Google-Ads-Kampagnen – ein Zeichen für eine gut koordinierte, groß angelegte Operation.

Passend zum Thema Malvertising und Datendiebstahl: Manipulierte Werbeanzeigen führen heute häufig zu massenhaften Infektionen und zu Datenverlust — viele Unternehmen und Privatpersonen sind darauf nicht vorbereitet. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt die aktuellen Angriffsformen (inklusive Malvertising), welche Schutzmaßnahmen akut helfen und wie Sie Ihre IT‑Sicherheitsprioritäten setzen sollten. Ideal für Entscheider und alle, die Zugangsdaten und Systeme besser schützen wollen. Gratis E‑Book „Cyber Security Awareness Trends“ jetzt herunterladen

Getarnter Angreifer: Die 56-Tage-Schlafphase

Was die Kampagne besonders gefährlich macht, ist ihre Geduld. Nach der Installation bleibt TamperedChef etwa 56 Tage lang völlig inaktiv. Diese lange Schlafphase ist eine gezielte Taktik, um automatisierte Sicherheitsscans zu umgehen, die nach sofortiger Schadaktivität suchen. Die 56 Tage decken sich zudem mit der typischen Laufzeit einer bezahlten Werbekampagne. Die Täter maximierten so die Zahl der Infektionen weltweit, bevor sie am 21. August 2025 per Fernbefehl alle infizierten Systeme gleichzeitig aktivierten.

Die böse Überraschung: Diebstahl von Zugangsdaten

Nach der Aktivierung verwandelte sich der PDF-Editor in einen aktiven Datendieb. TamperedChef erntete gespeicherte Passwörter, Cookies und andere private Informationen aus allen gängigen Browsern. Um an gesperrte Daten zu gelangen, beendete die Malware zuvor die Browser-Prozesse. Die gestohlenen Daten sind für Kriminelle extrem wertvoll und ermöglichen Kontenübernahmen, Betrug und Identitätsdiebstahl. Zudem installierte der Schädling eine Hintertür für dauerhaften Fernzugriff, etwa für spätere Ransomware-Angriffe.

Hintergrund: Teil der größeren „EvilAI“-Kampagne

Die TamperedChef-Kampagne ist kein Einzelfall. Sie wird der Bedrohungsgruppe „EvilAI“ zugerechnet, die seit August 2024 aktiv ist. Die hohe Professionalität – einschließlich der Nutzung gültiger Code-Signing-Zertifikate zur Vertrauensbildung – deutet auf gut ausgestattete Cyberkriminelle hin. Der Fall zeigt den gefährlichen Trend des „Malvertising“: Kriminelle missbrauchen legale Werbeplattformen wie Google Ads, um Malware massenhaft zu verbreiten. Auch andere Schadprogramme wie RATs oder Gootloader werden so über gefälschte Suchergebnisse verteilt.

Schutzmaßnahmen: So können sich Nutzer wehren

• Für Privatanwender: Seien Sie äußerst misstrauisch gegenüber Software, die über Online-Werbung beworben wird. Laden Sie Programme nur von offiziellen, seriösen Quellen herunter.
• Für Unternehmen: Führen Sie Application-Control-Richtlinien ein, die die Installation nicht-autorisierter Software unterbinden.
• Bei Verdacht auf Infektion: Betroffene Systeme sollten komplett neu aufgesetzt werden. Setzen Sie alle gespeicherten Passwörter sofort zurück und aktivieren Sie wo immer möglich eine Zwei-Faktor-Authentifizierung (2FA). Alle in Browsern gespeicherten Zugangsdaten müssen als kompromittiert angesehen werden.