Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware TamperedChef

Malware TamperedChef

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Útočníci zneužívají falešné instalační programy maskované jako široce používané aplikace v globální malwarové kampani známé jako TamperedChef. Uživatelé, kteří si tyto padělané programy stáhnou, neúmyslně instalují malware, jehož cílem je zajistit trvalou bezpečnost v jejich systémech a nasadit backdoor s JavaScriptem pro vzdálený přístup a ovládání. V době podání zprávy byla kampaň stále aktivní, byly detekovány nové škodlivé artefakty a související infrastruktura byla stále funkční.

Sociální inženýrství a zneužívání důvěry

Provozovatelé stojící za TamperedChef využívají techniky sociálního inženýrství k maximalizaci důvěry uživatelů a vyhnutí se odhalení. Mezi jejich metody patří:

  • Používání známých názvů aplikací k nalákání ke stažení
  • Nasazení malwarových kampaní k oslovení uživatelů prostřednictvím online reklamy
  • Využití taktik optimalizace pro vyhledávače (SEO) pro zobrazení ve výsledcích vyhledávání
  • Podepisování malwaru zneužitými digitálními certifikáty, které dodávají malwaru auru legitimity

Certifikáty jsou často vydávány fiktivním společnostem registrovaným v USA, Panamě a Malajsii. Jakmile jsou starší certifikáty rušeny, útočníci neustále získávají nové pod jinými názvy společností a udržují si tak zdání legitimity. Odborníci na informační bezpečnost popsali tuto infrastrukturu jako vysoce organizovanou, která umožňuje stabilní produkci důvěryhodně vypadajících instalačních firem.

Rodina malwaru a kontext kampaně

TamperedChef je součástí větší kampaně s kódovým označením EvilAI, která využívá návnady spojené s nástroji a softwarem umělé inteligence (AI) k distribuci malwaru. Ačkoli se samotný TamperedChef stal široce používaným názvem pro tuto rodinu malwaru, v některých zprávách je také sledován jako BaoLoader. Název TamperedChef pomáhá udržovat konzistenci napříč publikacemi o kybernetické bezpečnosti a detekcemi od dodavatelů, i když se liší od původního malwaru TamperedChef vloženého do škodlivé aplikace s recepty.

Jak se útok odvíjí

Typický scénář útoku zahrnuje:

  • Uživatelům, kteří ve vyhledávačích hledají editory PDF nebo manuály k produktům, se zobrazují napadené adresy URL nebo škodlivé reklamy.
  • Kliknutím na tyto odkazy jsou uživatelé přesměrováni na nastražené domény, často registrované přes NameCheap, a vyzváni ke stažení falešného instalačního programu.
  • Instalační program požádá uživatele o souhlas se standardními licenčními podmínkami a poté v nové kartě prohlížeče otevře stránku s poděkováním, aby zachoval trik.
  • Na pozadí je odstraněn soubor XML, čímž se vytvoří naplánovaná úloha, která spustí zahalený JavaScript backdoor.
  • Backdoor komunikuje s externími servery a přenáší systémová metadata, jako je ID relace a ID počítače, zakódovaná v šifrovaném Base64 JSON přes HTTPS.

Konečné cíle kampaně zůstávají nejasné. Některé varianty malwaru usnadňují reklamní podvody, zatímco jiné by mohly být zpeněženy prodejem přístupu kyberzločincům nebo shromažďováním citlivých dat pro podzemní fóra.

Geografický a odvětvový dopad

Telemetrie ukazuje, že nejvíce postiženi jsou uživatelé z USA, přičemž další infekce byly hlášeny v Izraeli, Španělsku, Německu, Indii a Irsku. Mezi nejvíce postižená odvětví patří zdravotnictví, stavebnictví a výroba, pravděpodobně kvůli jejich časté závislosti na specializovaném vybavení a online vyhledávání manuálů k produktům, čehož útočníci zneužívají.

Související příspěvky

Trendy

Příchozí zpráva pozastavena – podvod

Phishing, Spam
Kyberzločinci neustále zdokonalují podvodné metody založené na e-mailech a podvod „Příchozí zpráva pozastavena“ je dalším příkladem toho, jak přesvědčivě vytvořený spam dokáže nalákat nic netušící příjemce. Tato podvodná upozornění falešně tvrdí, že zprávy jsou z vaší schránky zadržovány, a snaží se vás donutit k přesměrování na phishingovou stránku. Je nezbytné si uvědomit, že tyto e-maily...

Nejvíce shlédnuto

Načítání...