TamperedChef Stealer
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια κακόβουλη καμπάνια που αξιοποιεί παραπλανητικές διαδικτυακές διαφημίσεις για να διανείμει ένα νέο πρόγραμμα κλοπής πληροφοριών, γνωστό ως TamperedChef. Η επιχείρηση βασίζεται σε κακόβουλες διαφημίσεις για να κατευθύνει τους χρήστες σε δόλιες ιστοσελίδες, όπου πείθονται να κατεβάσουν ένα πρόγραμμα επεξεργασίας PDF που έχει μολυνθεί με trojan.
Πίνακας περιεχομένων
Τρωικοποιημένος επεξεργαστής PDF ως δόλωμα
Το ψεύτικο λογισμικό, που προωθείται ως AppSuite PDF Editor, ξεγελάει τους χρήστες ώστε να εγκαταστήσουν αυτό που φαίνεται να είναι ένα νόμιμο εργαλείο. Κατά την εγκατάσταση, τα θύματα λαμβάνουν μια συμφωνία όρων παροχής υπηρεσιών, δίνοντας την ψευδαίσθηση της νομιμότητας. Στο παρασκήνιο, ωστόσο, το πρόγραμμα εγκατάστασης συνδέεται κρυφά με έναν απομακρυσμένο διακομιστή για να αφαιρέσει την εφαρμογή επεξεργασίας, ενώ ταυτόχρονα τροποποιεί το μητρώο των Windows για να δημιουργήσει τη διατήρηση της εφαρμογής.
Το πρόγραμμα εγκατάστασης διασφαλίζει ότι το πρόγραμμα εκκινείται αυτόματα μετά από μια επανεκκίνηση, ενσωματώνοντας ορίσματα γραμμής εντολών (--cm) στο Μητρώο. Αυτά τα ορίσματα επιτρέπουν στο κακόβουλο λογισμικό να λαμβάνει οδηγίες για την εκτέλεση διαφορετικών κακόβουλων ρουτινών.
Χρονολόγιο της επίθεσης
Οι έρευνες υποδεικνύουν ότι η εκστρατεία ξεκίνησε στις 26 Ιουνίου 2025, συμπίπτοντας με την καταχώριση αρκετών παραποιημένων ιστότοπων και την έναρξη τουλάχιστον πέντε διαφημιστικών καμπανιών της Google που προωθούσαν το πρόγραμμα επεξεργασίας PDF. Αρχικά, το πρόγραμμα φαινόταν μη απειλητικό, αλλά είχε σχεδιαστεί για να ελέγχει επανειλημμένα για ενημερώσεις από έναν απομακρυσμένο διακομιστή.
Στις 21 Αυγούστου 2025, σχεδόν δύο μήνες αργότερα, τα μολυσμένα μηχανήματα άρχισαν να λαμβάνουν οδηγίες που ενεργοποίησαν το κακόβουλο φορτίο του TamperedChef. Αυτή η σταδιακή προσέγγιση επέτρεψε στους εισβολείς να μεγιστοποιήσουν τον αριθμό των θυμάτων πριν ενεργοποιήσουν το κακόβουλο λογισμικό.
Κακόβουλες Δυνατότητες του TamperedChef
Μόλις ενεργοποιηθεί, το TamperedChef εκτελεί αναγνώριση εντοπίζοντας εγκατεστημένα εργαλεία ασφαλείας και απενεργοποιώντας αναγκαστικά τα προγράμματα περιήγησης ιστού. Αυτό του παρέχει πρόσβαση σε ευαίσθητα δεδομένα, όπως αποθηκευμένα διαπιστευτήρια και cookies.
Περαιτέρω ανάλυση αποκάλυψε ότι ο επεξεργαστής που είναι εμπλουτισμένος με κακόβουλο λογισμικό λειτουργεί επίσης ως backdoor με πολλαπλές επιλογές γραμμής εντολών. Αυτές επιτρέπουν τη διατήρηση, τον καθαρισμό, την επικοινωνία με διακομιστές εντολών και ελέγχου (C2) και τον χειρισμό δεδομένων προγράμματος περιήγησης.
Βασικές Λειτουργίες που Προσδιορίστηκαν:
--install: Δημιουργεί προγραμματισμένες εργασίες (PDFEditorScheduledTask, PDFEditorUScheduledTask) που εκτελούνται με ορίσματα ενημέρωσης και δημιουργίας αντιγράφων ασφαλείας για την ενεργοποίηση λειτουργιών ελέγχου και ping.
--cleanup: Εκτελείται από το πρόγραμμα απεγκατάστασης για τη διαγραφή στοιχείων backdoor, την κατάργηση της εγγραφής του κεντρικού υπολογιστή και την κατάργηση προγραμματισμένων εργασιών.
--ping: Δημιουργεί επικοινωνία C2 για τη λήψη οδηγιών για τη λήψη περισσότερου κακόβουλου λογισμικού, την τροποποίηση του Μητρώου και την εξαγωγή δεδομένων.
--check: Επικοινωνεί με το C2 για ενημερώσεις διαμόρφωσης, κλέβει διαπιστευτήρια, διαβάζει κλειδιά προγράμματος περιήγησης και τροποποιεί τα προγράμματα περιήγησης Chromium, OneLaunch και Wave.
--reboot: Παρόμοιο με το --check αλλά ικανό να τερματίσει συγκεκριμένες διεργασίες.
Στρατηγική κατάχρηση διαφημιστικών καμπανιών
Η επιλογή του χρονικού πλαισίου από τους εισβολείς είναι αξιοσημείωτη. Η καθυστέρηση των 56 ημερών μεταξύ της έναρξης της καμπάνιας και της κακόβουλης ενεργοποίησης ταιριάζει απόλυτα με την τυπική διάρκεια ζωής των 60 ημερών των διαφημιστικών καμπανιών της Google. Αυτό υποδηλώνει ότι οι απειλητικοί παράγοντες επέτρεψαν σκόπιμα στις διαφημίσεις να εκτελέσουν πλήρως την πορεία τους, μεγιστοποιώντας την έκθεση και τις λήψεις πριν απελευθερώσουν όλες τις δυνατότητες του TamperedChef.
