Κακόβουλο λογισμικό TamperedChef
Οι απειλητικοί παράγοντες εκμεταλλεύονται ψεύτικους εγκαταστάτες που μεταμφιέζονται σε ευρέως χρησιμοποιούμενες εφαρμογές σε μια παγκόσμια εκστρατεία κακόβουλης διαφήμισης γνωστή ως TamperedChef. Οι χρήστες που κατεβάζουν αυτά τα πλαστά προγράμματα εγκαθιστούν κατά λάθος κακόβουλο λογισμικό που έχει σχεδιαστεί για να διατηρεί την παρουσία του στα συστήματά τους και να αναπτύσσει μια κερκόπορτα JavaScript για απομακρυσμένη πρόσβαση και έλεγχο. Κατά τη στιγμή της αναφοράς, η εκστρατεία παρέμεινε ενεργή, με εντοπισμό νέων κακόβουλων αντικειμένων και τη σχετική υποδομή να εξακολουθεί να λειτουργεί.
Πίνακας περιεχομένων
Κοινωνική Μηχανική και Εκμετάλλευση Εμπιστοσύνης
Οι χειριστές πίσω από το TamperedChef αξιοποιούν τεχνικές κοινωνικής μηχανικής για να μεγιστοποιήσουν την εμπιστοσύνη των χρηστών και να αποφύγουν τον εντοπισμό. Οι μέθοδοί τους περιλαμβάνουν:
- Χρήση γνωστών ονομάτων εφαρμογών για την προσέλκυση λήψεων
- Ανάπτυξη καμπανιών κακόβουλης διαφήμισης για την προσέγγιση χρηστών μέσω διαδικτυακών διαφημίσεων
- Χρήση τακτικών βελτιστοποίησης μηχανών αναζήτησης (SEO) για εμφάνιση στα αποτελέσματα αναζήτησης
- Υπογραφή κακόβουλου λογισμικού με καταχρηστικά ψηφιακά πιστοποιητικά, τα οποία προσδίδουν μια αίσθηση νομιμότητας
Τα πιστοποιητικά εκδίδονται συχνά σε εικονικές εταιρείες που είναι εγγεγραμμένες στις ΗΠΑ, τον Παναμά και τη Μαλαισία. Καθώς τα παλαιότερα πιστοποιητικά ανακαλούνται, οι επιτιθέμενοι αποκτούν συνεχώς νέα με διαφορετικά ονόματα εταιρειών, διατηρώντας την εντύπωση νομιμότητας. Οι ειδικοί της Infosec έχουν περιγράψει αυτήν την υποδομή ως άκρως οργανωμένη, επιτρέποντας τη σταθερή παραγωγή εγκαταστατών που φαίνονται αξιόπιστοι.
Οικογένεια κακόβουλου λογισμικού και πλαίσιο καμπάνιας
Το TamperedChef αποτελεί μέρος μιας ευρύτερης καμπάνιας με την κωδική ονομασία EvilAI, η οποία χρησιμοποιεί δολώματα συνδεδεμένα με εργαλεία και λογισμικό τεχνητής νοημοσύνης (AI) για τη διανομή κακόβουλου λογισμικού. Ενώ το ίδιο το TamperedChef έχει γίνει το ευρέως αποδεκτό όνομα για την οικογένεια κακόβουλου λογισμικού, σε ορισμένες αναφορές παρακολουθείται επίσης ως BaoLoader. Το όνομα TamperedChef βοηθά στη διατήρηση της συνέπειας σε όλες τις δημοσιεύσεις κυβερνοασφάλειας και τις ανιχνεύσεις προμηθευτών, παρόλο που διαφέρει από το αρχικό κακόβουλο λογισμικό TamperedChef που είναι ενσωματωμένο σε μια κακόβουλη εφαρμογή συνταγών.
Πώς εξελίσσεται η επίθεση
Ένα τυπικό σενάριο επίθεσης περιλαμβάνει:
- Οι χρήστες που αναζητούν προγράμματα επεξεργασίας PDF ή εγχειρίδια προϊόντων στις μηχανές αναζήτησης λαμβάνουν τοξικές διευθύνσεις URL ή κακόβουλες διαφημίσεις.
- Κάνοντας κλικ σε αυτούς τους συνδέσμους, οι χρήστες ανακατευθύνονται σε domains με παγίδες, τα οποία συχνά καταχωρούνται μέσω του NameCheap, ωθώντας τους να κατεβάσουν ένα ψεύτικο πρόγραμμα εγκατάστασης.
- Το πρόγραμμα εγκατάστασης ζητά από τους χρήστες να συμφωνήσουν με τους τυπικούς όρους αδειοδότησης και, στη συνέχεια, ανοίγει μια σελίδα ευχαριστιών σε μια νέα καρτέλα του προγράμματος περιήγησης για να διατηρήσει το τέχνασμα.
Οι τελικοί στόχοι της καμπάνιας παραμένουν ασαφείς. Ορισμένες παραλλαγές κακόβουλου λογισμικού διευκολύνουν τη διαφημιστική απάτη, ενώ άλλες θα μπορούσαν να αποκομίσουν έσοδα μέσω της πώλησης πρόσβασης σε κυβερνοεγκληματίες ή μέσω της συλλογής ευαίσθητων δεδομένων για υπόγεια φόρουμ.
Γεωγραφικός και Τομεακός Αντίκτυπος
Η τηλεμετρία δείχνει ότι οι χρήστες στις ΗΠΑ είναι αυτοί που επηρεάζονται περισσότερο, με επιπλέον μολύνσεις να έχουν αναφερθεί στο Ισραήλ, την Ισπανία, τη Γερμανία, την Ινδία και την Ιρλανδία. Οι τομείς που επηρεάστηκαν περισσότερο περιλαμβάνουν την υγειονομική περίθαλψη, τις κατασκευές και τη μεταποίηση, πιθανώς λόγω της συχνής εξάρτησής τους από εξειδικευμένο εξοπλισμό και διαδικτυακές αναζητήσεις για εγχειρίδια προϊόντων, τα οποία εκμεταλλεύονται οι εισβολείς.
