Programari maliciós de TamperedChef

Els actors amenaçadors exploten instal·ladors falsos que es fan passar per aplicacions àmpliament utilitzades en una campanya global de publicitat maliciosa coneguda com a TamperedChef. Els usuaris que descarreguen aquests programes falsificats instal·len inadvertidament programari maliciós dissenyat per establir la persistència als seus sistemes i implementar una porta del darrere de JavaScript per a l'accés i el control remots. En el moment de l'informe, la campanya continuava activa, amb nous artefactes maliciosos detectats i la infraestructura associada encara operativa.

Enginyeria social i explotació de la confiança

Els operadors que hi ha darrere de TamperedChef utilitzen tècniques d'enginyeria social per maximitzar la confiança dels usuaris i evadir la detecció. Els seus mètodes inclouen:

• Ús de noms d'aplicacions familiars per atraure descàrregues
• Implementació de campanyes de publicitat maliciosa per arribar als usuaris a través d'anuncis en línia
• Utilitzant tàctiques d'optimització per a motors de cerca (SEO) per aparèixer als resultats de cerca
• Signar programari maliciós amb certificats digitals abusius, que donen un aire de legitimitat

Sovint s'emeten certificats a empreses fantasma registrades als EUA, Panamà i Malàisia. A mesura que es revoquen els certificats més antics, els atacants n'adquireixen contínuament de nous amb diferents noms d'empresa, mantenint l'aparença de legitimitat. Els experts en seguretat de la informació han descrit aquesta infraestructura com a altament organitzada, que permet la producció constant d'instal·ladors d'aspecte fiable.

Família de programari maliciós i context de campanya

TamperedChef forma part d'una campanya més àmplia amb el nom en clau EvilAI, que utilitza esquers vinculats a eines i programari d'intel·ligència artificial (IA) per a la distribució de programari maliciós. Tot i que TamperedChef s'ha convertit en el nom àmpliament adoptat per a la família de programari maliciós, també es rastreja com a BaoLoader en alguns informes. El nom TamperedChef ajuda a mantenir la coherència entre les publicacions de ciberseguretat i les deteccions de proveïdors, tot i que difereix del programari maliciós original TamperedChef incrustat en una aplicació de receptes maliciosa.

Com es desenvolupa l’atac

Un escenari d'atac típic inclou:

• Els usuaris que busquen editors de PDF o manuals de productes als motors de cerca reben URL enverinades o anuncis maliciosos.
• En fer clic en aquests enllaços, els usuaris es redirigeixen a dominis amb trampa, sovint registrats a través de NameCheap, cosa que els fa descarregar un instal·lador fals.
• L'instal·lador demana als usuaris que acceptin els termes de llicència estàndard i, a continuació, obre una pàgina d'agraïment en una nova pestanya del navegador per mantenir l'engany.

• En segon pla, es descarta un fitxer XML, creant una tasca programada que inicia una porta del darrere de JavaScript ofuscada.

• La porta del darrere es comunica amb servidors externs, transmetent metadades del sistema, com ara l'ID de sessió i l'ID de màquina, codificades en JSON Base64 xifrat a través d'HTTPS.

Els objectius finals de la campanya encara no estan clars. Algunes variants de programari maliciós faciliten el frau publicitari, mentre que d'altres es podrien monetitzar mitjançant l'accés venut a ciberdelinqüents o mitjançant la recopilació de dades sensibles per a fòrums clandestins.

Impacte geogràfic i sectorial

La telemetria indica que els usuaris dels EUA són els més afectats, amb infeccions addicionals reportades a Israel, Espanya, Alemanya, l'Índia i Irlanda. Els sectors més afectats inclouen la salut, la construcció i la indústria manufacturera, probablement a causa de la seva freqüent dependència d'equips especialitzats i cerques en línia de manuals de productes, que els atacants exploten.