Зловреден софтуер TamperedChef
Злонамерени лица експлоатират фалшиви инсталатори, маскирани като широко използвани приложения, в глобална кампания за злонамерена реклама, известна като TamperedChef. Потребителите, които изтеглят тези фалшиви програми, неволно инсталират злонамерен софтуер, предназначен да осигури постоянство в системите им и да внедри JavaScript backdoor за отдалечен достъп и контрол. Към момента на докладване кампанията остава активна, като са открити нови злонамерени артефакти и свързаната с тях инфраструктура все още функционира.
Съдържание
Социално инженерство и експлоатация на доверие
Операторите зад TamperedChef използват техники за социално инженерство, за да увеличат максимално доверието на потребителите и да избегнат откриването. Техните методи включват:
- Използване на познати имена на приложения за привличане на изтегляния
- Разгръщане на злонамерени рекламни кампании за достигане до потребителите чрез онлайн реклами
- Използване на тактики за оптимизация за търсачки (SEO) за показване в резултатите от търсенето
- Подписване на зловреден софтуер със злоупотребени цифрови сертификати, които придават вид на легитимност
Сертификатите често се издават на фиктивни компании, регистрирани в САЩ, Панама и Малайзия. С отмяната на по-стари сертификати, нападателите непрекъснато придобиват нови под различни имена на компании, поддържайки видимостта на легитимност. Експерти по информационна сигурност описват тази инфраструктура като високо организирана, позволяваща стабилно производство на надеждни инсталатори.
Семейство злонамерен софтуер и контекст на кампанията
TamperedChef е част от по-голяма кампания с кодово име EvilAI, която използва примамки, свързани с инструменти и софтуер за изкуствен интелект (ИИ), за разпространение на зловреден софтуер. Макар че самото TamperedChef се е превърнало в широко възприетото име за семейството зловреден софтуер, в някои доклади то се проследява и като BaoLoader. Името TamperedChef помага за поддържане на съгласуваност между публикациите за киберсигурност и засичанията от доставчици, въпреки че се различава от оригиналния зловреден софтуер TamperedChef, вграден в злонамерено приложение за рецепти.
Как се развива атаката
Типичен сценарий на атака включва:
- Потребителите, които търсят PDF редактори или продуктови ръководства в търсачките, получават отровни URL адреси или злонамерени реклами.
- Кликването върху тези връзки пренасочва потребителите към домейни с капани, често регистрирани чрез NameCheap, което ги подтиква да изтеглят фалшив инсталатор.
- Инсталаторът моли потребителите да се съгласят със стандартните лицензионни условия, след което отваря страница с благодарност в нов раздел на браузъра, за да поддържа хитростта.
- Във фонов режим се изтрива XML файл, създавайки планирана задача, която стартира обфусирана JavaScript задна врата.
- Задната вратичка комуникира с външни сървъри, предавайки системни метаданни, като например идентификатор на сесия и идентификатор на машина, кодирани в криптиран Base64 JSON през HTTPS.
Крайните цели на кампанията остават неясни. Някои варианти на зловреден софтуер улесняват рекламните измами, докато други биха могли да бъдат монетизирани чрез продажба на достъп на киберпрестъпници или чрез събиране на чувствителни данни за подземни форуми.
Географско и секторно въздействие
Телеметрията показва, че потребителите в САЩ са най-засегнати, като допълнителни инфекции са регистрирани в Израел, Испания, Германия, Индия и Ирландия. Най-засегнатите сектори включват здравеопазването, строителството и производството, вероятно поради честата им зависимост от специализирано оборудване и онлайн търсения на ръководства за продукти, които нападателите експлоатират.
