Una campaña de malvertising usó anuncios legítimos para robar credenciales en navegadores, afectando a usuarios y empresas en varios países, incluido México
Una campaña de publicidad maliciosa logró utilizar anuncios en línea legítimos para distribuir software fraudulento y comprometer credenciales almacenadas en navegadores, afectando a usuarios y organizaciones en múltiples países, incluido México. El ataque, identificado como TamperedChef, fue documentado por el equipo de ciberseguridad Sophos X-Ops, que confirmó la infección de más de 300 dispositivos antes de que la operación fuera detectada.
De acuerdo con la investigación, los atacantes se valieron de plataformas publicitarias reconocidas para promocionar aplicaciones aparentemente legítimas, como AppSuite PDF Editor. Sin embargo, en lugar de ofrecer funciones de edición de documentos, el programa contenía un infostealer diseñado para extraer contraseñas, cookies y otra información confidencial almacenada en los navegadores web.
La mayoría de los equipos comprometidos se localizaron en Europa; no obstante, Sophos confirmó que la campaña tuvo un alcance global y logró evadir mecanismos de protección durante varias semanas. El reporte señala que al menos 100 organizaciones de distintos sectores resultaron afectadas, lo que amplificó el impacto operativo del incidente más allá de usuarios individuales.
Según Sophos, los operadores de TamperedChef explotaron el alto alcance, bajo costo y el nivel de confianza que los usuarios suelen depositar en los anuncios en línea. Para fortalecer la credibilidad del malware, los atacantes obtuvieron certificados de firma digital y recurrieron a plataformas publicitarias ampliamente utilizadas, lo que permitió la propagación del software malicioso sin levantar alertas inmediatas.
La firma de ciberseguridad advirtió que cualquier persona u organización que haya instalado AppSuite PDF Editor debe asumir que las credenciales almacenadas en su navegador pudieron haber sido comprometidas. En consecuencia, recomendó eliminar el software de inmediato y proceder al cambio de todas las contraseñas asociadas.
Entre las principales recomendaciones, Sophos sugirió a los usuarios evitar la instalación de programas a través de anuncios, así como deshabilitar el guardado automático de contraseñas en los navegadores. Para entornos corporativos, la empresa aconsejó el uso de administradores de contraseñas empresariales, la implementación de controles estrictos sobre las aplicaciones permitidas y la capacitación continua del personal para identificar fuentes potencialmente maliciosas.
El equipo de Sophos X-Ops subrayó que este tipo de campañas refleja una evolución en las tácticas del cibercrimen, en la que la confianza digital se convierte en un vector de ataque. En este sentido, advirtió que futuros incidentes podrían replicar el modelo de TamperedChef con herramientas aún más sofisticadas y difíciles de detectar.
La investigación completa se encuentra disponible en el informe "TamperedChef serves bad ads, with infostealers as the main course", publicado por Sophos X-Ops.