Rabattilbud med flere licenser
Trusseldatabase Malware TamperedChef-malware

TamperedChef-malware

Med Mezo i Malware, Advanced Persistent Threat (APT), Bagdøre
Oversæt til:

Trusselaktører udnytter falske installatører, der udgiver sig for at være udbredte applikationer, i en global malwarekampagne kendt som TamperedChef. Brugere, der downloader disse forfalskede programmer, installerer utilsigtet malware, der er designet til at etablere persistens på deres systemer og implementere en JavaScript-bagdør til fjernadgang og -kontrol. På rapporteringstidspunktet forblev kampagnen aktiv, med nye ondsindede artefakter opdaget og tilhørende infrastruktur stadig operationel.

Social manipulation og udnyttelse af tillid

Operatørerne bag TamperedChef udnytter social engineering-teknikker til at maksimere brugertillid og undgå opdagelse. Deres metoder omfatter:

  • Brug af velkendte programnavne til at lokke downloads
  • Implementering af malvertising-kampagner for at nå ud til brugere via onlineannoncer
  • Brug af SEO-taktikker (søgemaskineoptimering) for at blive vist i søgeresultaterne
  • Signering af malware med misbrugte digitale certifikater, der giver et aura af legitimitet

Certifikater udstedes ofte til skuffeselskaber registreret i USA, Panama og Malaysia. Efterhånden som ældre certifikater tilbagekaldes, erhverver angriberne løbende nye under forskellige firmanavne, hvilket opretholder et indtryk af legitimitet. Infosec-eksperter har beskrevet denne infrastruktur som yderst organiseret, hvilket muliggør en stabil produktion af pålidelige installatører.

Malwarefamilie og kampagnekontekst

TamperedChef er en del af en større kampagne med kodenavnet EvilAI, der bruger lokkemidler knyttet til kunstig intelligens (AI)-værktøjer og -software til distribution af malware. Selvom TamperedChef i sig selv er blevet det bredt anvendte navn for malware-familien, spores det også som BaoLoader i nogle rapporter. Navnet TamperedChef hjælper med at opretholde ensartethed på tværs af cybersikkerhedspublikationer og leverandørdetektioner, selvom det adskiller sig fra den originale TamperedChef-malware, der er indlejret i en ondsindet opskriftsapplikation.

Hvordan angrebet udfolder sig

Et typisk angrebsscenarie omfatter:

  • Brugere, der søger efter PDF-editorer eller produktmanualer på søgemaskiner, får vist forgiftede URL'er eller ondsindede annoncer.
  • Hvis du klikker på disse links, omdirigeres brugerne til falske domæner, ofte registreret via NameCheap, hvilket får dem til at downloade et falsk installationsprogram.
  • Installationsprogrammet beder brugerne om at acceptere standardlicensvilkårene og åbner derefter en takkeside i en ny browserfane for at opretholde knebet.
  • I baggrunden slettes en XML-fil, hvilket opretter en planlagt opgave, der starter en obfuskeret JavaScript-bagdør.
  • Bagdøren kommunikerer med eksterne servere og transmitterer systemmetadata, såsom sessions-ID og maskin-ID, kodet i krypteret Base64 JSON via HTTPS.

    • Kampagnens endelige mål er fortsat uklare. Nogle malwarevarianter fremmer reklamesvindel, mens andre kan tjene penge gennem adgang solgt til cyberkriminelle eller ved at indsamle følsomme data til undergrundsfora.

    Geografisk og sektormæssig påvirkning

    Telemetri viser, at amerikanske brugere er de mest berørte, med yderligere infektioner rapporteret i Israel, Spanien, Tyskland, Indien og Irland. De mest berørte sektorer omfatter sundhedspleje, byggeri og fremstilling, sandsynligvis på grund af deres hyppige afhængighed af specialudstyr og onlinesøgninger efter produktmanualer, som angriberne udnytter.

    Trending

    Mest sete

    Indlæser...