TamperedChefi pahavara
Ohurünnakute tegijad kasutavad võltsitud installiprogramme, mis maskeeruvad laialdaselt kasutatavateks rakendusteks ülemaailmses pahavarakampaanias, mida tuntakse nimega TampererdChef. Kasutajad, kes laadivad alla need võltsitud programmid, installivad kogemata pahavara, mis on loodud nende süsteemidesse püsiva pahavara tekitamiseks ja JavaScripti tagaukse juurutamiseks kaugjuurdepääsu ja -juhtimise jaoks. Aruande esitamise ajal oli kampaania endiselt aktiivne, tuvastati uusi pahatahtlikke esemeid ja seotud infrastruktuur töötas endiselt.
Sisukord
Sotsiaalne manipuleerimine ja usalduse ärakasutamine
TampererdChefi taga olevad operaatorid kasutavad sotsiaalse manipuleerimise tehnikaid, et maksimeerida kasutajate usaldust ja vältida avastamist. Nende meetodid hõlmavad järgmist:
- Tuttavate rakenduste nimede kasutamine allalaadimiste ligimeelitamiseks
- Pahatahtliku reklaami kampaaniate rakendamine kasutajateni jõudmiseks veebireklaamide kaudu
- Otsingumootorite optimeerimise (SEO) taktikate kasutamine otsingutulemustes ilmumiseks
- Pahavara allkirjastamine kuritarvitatud digitaalsete sertifikaatidega, mis loovad legitiimsuse mulje
Sertifikaate väljastatakse sageli USA-s, Panamas ja Malaisias registreeritud variettevõtetele. Vanemate sertifikaatide tühistamisel hangivad ründajad pidevalt uusi sertifikaate erinevate ettevõtte nimede all, säilitades seeläbi seaduslikkuse mulje. Infoturbe eksperdid on seda infrastruktuuri kirjeldanud kui kõrgelt organiseeritud infrastruktuuri, mis võimaldab usaldusväärse välimusega paigaldajate pidevat tootmist.
Pahavaraperekond ja kampaania kontekst
TamperedChef on osa suuremast kampaaniast koodnimega EvilAI, mis kasutab pahavara levitamiseks tehisintellekti (AI) tööriistade ja tarkvaraga seotud peibutisi. Kuigi TampererdChef ise on saanud pahavara perekonna laialdaselt omaksvõetud nimeks, jälgitakse seda mõnes aruandes ka kui BaoLoaderit. Nimi TamperedChef aitab säilitada järjepidevust küberturvalisuse väljaannetes ja müüjate tuvastamises, kuigi see erineb algsest TamperedChefi pahavarast, mis oli manustatud pahatahtlikku retseptirakendusse.
Kuidas rünnak lahti rullub
Tüüpiline rünnakustsenaarium hõlmab järgmist:
- Kasutajatele, kes otsivad otsingumootoritest PDF-redaktoreid või tootejuhendeid, kuvatakse mürgitatud URL-e või pahatahtlikke reklaame.
- Nendele linkidele klõpsamine suunab kasutajad lõksudega domeenidele, mis on sageli registreeritud NameCheapi kaudu, ajendades neid alla laadima võltsinstalleri.
- Installer palub kasutajatel nõustuda standardsete litsentsitingimustega ja avab seejärel uuel brauseri vahekaardil tänulehe, et pettust jätkata.
- Taustal kukutatakse XML-fail, mis loob ajastatud ülesande, mis käivitab hägustatud JavaScripti tagaukse.
- Tagauks suhtleb väliste serveritega, edastades süsteemi metaandmeid, näiteks seansi ID-d ja masina ID-d, mis on kodeeritud krüpteeritud Base64 JSON-vormingus HTTPS-i kaudu.
Kampaania lõppeesmärgid jäävad ebaselgeks. Mõned pahavara variandid hõlbustavad reklaamipettust, teised aga võiksid olla rahaks teenimiseks kättesaadavad küberkurjategijatele juurdepääsu müües või salastatud foorumite jaoks tundlikke andmeid kogudes.
Geograafiline ja sektoriaalne mõju
Telemeetria näitab, et enim on mõjutatud USA kasutajad, lisaks on nakatumisi teatatud Iisraelist, Hispaaniast, Saksamaalt, Indiast ja Iirimaalt. Enim mõjutatud sektorid on tervishoid, ehitus ja tootmine, tõenäoliselt seetõttu, et need sektorid tuginevad sageli spetsiaalsetele seadmetele ja otsivad tootejuhendeid veebist, mida ründajad ära kasutavad.
