برنامج TamperedChef الخبيث
يستغلّ مُهدّدون برامج تثبيت وهمية، مُتخفّيةً في شكل تطبيقات شائعة الاستخدام، في حملة إعلانية عالمية تُعرف باسم TamperedChef. يُثبّت المستخدمون الذين يُنزّلون هذه البرامج المزيّفة، عن غير قصد، برمجيات خبيثة مُصمّمة لتثبيت نفسها على أنظمتهم ونشر برمجية خبيثة من نوع JavaScript للوصول والتحكم عن بُعد. حتى وقت إعداد هذا التقرير، كانت الحملة لا تزال نشطة، مع اكتشاف آثار خبيثة جديدة، ولا تزال البنية التحتية المُرتبطة بها تعمل.
جدول المحتويات
الهندسة الاجتماعية واستغلال الثقة
يستخدم مُشغِّلو TamperedChef تقنيات الهندسة الاجتماعية لتعزيز ثقة المستخدم وتجنب الكشف. تشمل أساليبهم ما يلي:
- استخدام أسماء التطبيقات المألوفة لجذب عمليات التنزيل
- نشر حملات الإعلانات الضارة للوصول إلى المستخدمين عبر الإعلانات عبر الإنترنت
- استخدام تكتيكات تحسين محركات البحث (SEO) للظهور في نتائج البحث
- توقيع البرامج الضارة باستخدام شهادات رقمية مسيئة، مما يضفي عليها هالة من الشرعية
غالبًا ما تُصدر الشهادات لشركات وهمية مسجلة في الولايات المتحدة وبنما وماليزيا. ومع إلغاء الشهادات القديمة، يُواصل المهاجمون الحصول على شهادات جديدة بأسماء شركات مختلفة، محافظين على مظهر الشرعية. وقد وصف خبراء أمن المعلومات هذه البنية التحتية بأنها منظمة للغاية، مما يُمكّن من إنتاج مُثبّتين موثوقين باستمرار.
عائلة البرامج الضارة وسياق الحملة
TamperedChef جزء من حملة أوسع نطاقًا تُسمى EvilAI، وتستخدم أدوات إغراء مرتبطة بأدوات وبرامج الذكاء الاصطناعي لنشر البرمجيات الخبيثة. وبينما أصبح TamperedChef نفسه الاسم الشائع لعائلة البرمجيات الخبيثة، يُرصد أيضًا باسم BaoLoader في بعض التقارير. يُساعد اسم TamperedChef في الحفاظ على الاتساق في منشورات الأمن السيبراني واكتشافات البائعين، على الرغم من اختلافه عن برمجية TamperedChef الخبيثة الأصلية المُدمجة في تطبيق وصفات برمجية خبيثة.
كيف تتكشف أحداث الهجوم
يتضمن سيناريو الهجوم النموذجي ما يلي:
- يتم تقديم عناوين URL مسمومة أو إعلانات ضارة للمستخدمين الذين يبحثون عن محرري PDF أو أدلة المنتجات على محركات البحث.
- النقر على هذه الروابط يعيد توجيه المستخدمين إلى نطاقات مفخخة، غالبًا ما يتم تسجيلها عبر NameCheap، مما يدفعهم إلى تنزيل برنامج تثبيت مزيف.
- يطلب المثبت من المستخدمين الموافقة على شروط الترخيص القياسية، ثم يفتح صفحة شكر في علامة تبويب جديدة بالمتصفح للحفاظ على الحيلة.
لا تزال الأهداف النهائية للحملة غير واضحة. بعض أنواع البرمجيات الخبيثة تُسهّل الاحتيال الإعلاني، بينما يُمكن تحقيق الربح من أنواع أخرى من خلال بيع الوصول إلى البرامج لمجرمي الإنترنت أو بجمع بيانات حساسة للمنتديات السرية.
التأثير الجغرافي والقطاعي
تشير بيانات القياس عن بُعد إلى أن مستخدمي الولايات المتحدة هم الأكثر تضررًا، مع تسجيل إصابات إضافية في إسرائيل وإسبانيا وألمانيا والهند وأيرلندا. وتشمل القطاعات الأكثر تضررًا قطاعات الرعاية الصحية والبناء والتصنيع، ويعود ذلك على الأرجح إلى اعتمادها المتكرر على معدات متخصصة وعمليات بحث عبر الإنترنت عن أدلة المنتجات، والتي يستغلها المهاجمون.
