TamperedChef: Schläfer-Malware tarnt sich als PDF-Reader

Eine neue Welle der Schadsoftware TamperedChef infiltriert Unternehmensnetzwerke, indem sie sich als harmlose Windows-Hilfsprogramme tarnt. Die Bedrohung hat über die Feiertage deutlich zugenommen und steht nun ganz oben auf den Warnlisten von Cybersicherheitsfirmen.

Die Gefahr ist so tückisch wie einfach: Mitarbeiter laden Programme wie „AllManualsReader“ oder „PDF OneStart“ herunter, um Druckerhandbücher zu lesen oder PDFs zu bearbeiten. Die Software funktioniert wochenlang einwandfrei – bis sie plötzlich zuschlägt. Sicherheitsforscher von Red Canary und dem DFIR Report warnen vor dieser neuen Variante der Kampagne. Die als „JustAskJacky“ identifizierte Malware-Familie wurde am 18. Dezember zur meistverbreiteten Bedrohung in deren Überwachungsdaten erklärt.

Was macht diese Attacke so gefährlich? Die Schadsoftware agiert mit beispielloser Geduld.

56 Tage im Tiefschlaf: Die Strategie der Geduld

Im Gegensatz zu herkömmlicher Malware, die sofort aktiv wird, hält sich TamperedChef wochenlang zurück. Eine ausgeklügelte „Dormancy Period“ (Schlafphase) von 30 bis 60 Tagen ist ihr Markenzeichen. In dieser Zeit verhält sich die Software völlig normal und baut Vertrauen auf.

Dieser Trick umgeht automatisierte Sicherheitssysteme effektiv. Sandbox-Lösungen, die verdächtige Dateien nur für Minuten analysieren, fallen darauf herein. Bis der schädliche Code aktiv wird, ist die Software oft bereits von IT-Tools freigegeben oder in den täglichen Arbeitsablauf integriert.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und wie Tarn‑Malware wie TamperedChef genau diese Lücke ausnutzt. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt die aktuellen Bedrohungen, wie geduldsbasierte Angriffe funktionieren, welche einfachen Kontrollen sofort Wirkung zeigen (z. B. restriktive Installationsrichtlinien, Scheduled‑Task‑Monitoring) und wie Security‑Teams ohne großes Budget wirksame Maßnahmen umsetzen. Cyber‑Security E‑Book gratis herunterladen

Ein dokumentierter Infektionsweg vom 24. Dezember zeigt das Vorgehen: Ein Nutzer suchte nach Druckerhandbüchern, wurde über eine bezahlte Anzeige auf eine seriös wirkende Download-Seite geleitet und lud ein Tool mit gültigem Digitalzertifikat herunter. Fast zwei Monate später löste ein scheinbar harmloser Update-Befehl (--fullupdate) dann den Download des eigentlichen Infostealers aus.

Verbreitung über Suchmaschinen: Malvertising und SEO-Poisoning

Die Kampagne verbreitet sich vor allem über „Malvertising“ und SEO-Poisoning. Die Täter kaufen Anzeigenplätze bei Google und Bing, sodass ihre gefälschten Download-Seiten bei Suchen nach „kostenloser PDF-Editor“ oder „Druckerhandbuch“ ganz oben erscheinen.

Laut Daten von Acronis haben die Angreifer Dutzende Domains registriert, die legitimen Software-Archiven ähneln. Die installierte Malware richtet sich dann über Windows Scheduled Tasks dauerhaft im System ein. Täglich ausgeführte, versteckte Aufgaben – angeblich für Updates – dienen als „Herzschlag“ der Schadsoftware. Sie kontaktieren einen Command-and-Control-Server, um abzufragen, ob die Schlafphase vorbei ist.

Die böse Überraschung: Zugangsdaten und Hintertüren

Ist die Wartezeit um, verwandelt sich der hilfreiche Helfer in einen gefährlichen Informationsdieb. Die Malware zielt auf die Windows Data Protection API (DPAPI) ab, um gespeicherte sensible Daten aus Webbrowsern zu entschlüsseln und zu stehlen.

Die Hauptziele des aktiven Payloads sind:
* Diebstahl von Zugangsdaten: Gespeicherte Passwörter, Session-Cookies und Autofill-Daten aus Browsern wie Chrome, Edge und Firefox.
* Browser-Session-Hijacking: Die Erbeutung aktiver Session-Tokens, die es Angreifern erlauben, die Zwei-Faktor-Authentifizierung (2FA) bei einigen Diensten zu umgehen.
* Hintertüren: Die Einrichtung eines dauerhaften Fernzugriffstunnels. Die infizierte Maschine wird zu einem Proxy-Knoten, über den Angreifer schädlichen Datenverkehr leiten oder den Zugang an Ransomware-Gruppen verkaufen können.

Experten warnen besonders vor dem Diebstahl von Session-Cookies. Diese gewähren sofortigen Zugang zu Unternehmens-Cloud-Umgebungen wie Microsoft 365 oder Slack – ohne dass ein Passwort nötig ist.

Abwehrmaßnahmen: Was Unternehmen tun müssen

Die Sicherheitsbranche reagiert mit konkreten Handlungsempfehlungen. Unternehmen sollten ihre Software-Richtlinien dringend überprüfen.

Sicherheitsteams raten:
1. Die Ausführung nicht genehmigter „Produktivitäts“-Tools zu blockieren.
2. Administratorrechte einzuschränken, die Nutzern eigenständige Installationen erlauben.
3. Gezielt nach Indikatoren für eine Kompromittierung (IOCs) zu suchen.

Zu diesen Warnsignalen gehören:
* Geplante Tasks mit Namen wie „Update“ oder „Maintenance“, die Dateien aus Benutzer-AppData-Ordnern ausführen.
* Netzwerkverkehr zu bekannten schädlichen Domains wie vault.appsuites.ai.
* Bestimmte Prozesse wie node.exe, die aus unerwarteten Verzeichnissen ausgeführt werden – eine Technik, mit der die Malware JavaScript-Payloads außerhalb des Browsers startet.

Ausblick 2026: Der Trend zur geduldigen Malware

Der Erfolg von TamperedChef markiert eine gefährliche Entwicklung. „Geduldsbasierte“ Malware, die der Entdeckung durch simples Abwarten entgeht, dürfte 2026 ein dominanter Trend werden.

Das Katz-und-Maus-Spiel der Cybersicherheit verlagert sich damit hin zu einer langfristigen Verhaltensüberwachung, die über die reine Dateianalyse beim ersten Scan hinausgeht. Experten rechnen damit, dass die Betreiber ihre Köder-Anwendungen rotieren und auf andere häufige Suchbegriffe wie „Video-Konverter“ oder „KI-Schreibassistenten“ ausweiten werden.

Die Lehre für Organisationen ist klar: Jedes kostenlose Tool aus dem offenen Netz könnte eine schlafende Bedrohung sein, die nur auf ihren Weckruf wartet. Wachsamkeit ist das Gebot der Stunde.

PS: Sie wollen verhindern, dass schlafende Schadprogramme erst Wochen später zuschlagen? Der gratis‑Report liefert konkrete Maßnahmen für Awareness, Monitoring und Incident‑Response: Checklisten für Scheduled‑Task‑Analysen, Hinweise zur Erkennung von SEO‑Poisoning und Prioritäten für Microsoft‑365‑Sicherungen. Ideal für IT‑Leiter und Security‑Teams, die pragmatische Schritte sofort umsetzen wollen. Jetzt Cyber‑Security Report anfordern