TamperedChef Stealer
Küberturvalisuse uurijad on paljastanud pahatahtliku kampaania, mis kasutab petlikke veebireklaame uue infovarastaja TampereredChefi levitamiseks. Operatsioon tugineb pahavaralisele reklaamile, et suunata kasutajad petturlikele saitidele, kus neid veendakse alla laadima troojalase PDF-redaktori.
Sisukord
Trooja nakatatud PDF-redaktor on peibutis
Võltstarkvara, mida reklaamitakse nime all AppSuite PDF Editor, meelitab kasutajaid installima pealtnäha legitiimse tööriista. Installimise ajal esitatakse ohvritele teenusetingimused, mis loovad illusiooni legitiimsusest. Kulisside taga loob installija aga salaja ühenduse kaugserveriga, et redaktorirakendus sulgeda, muutes samal ajal Windowsi registrit, et failid püsivaks muuta.
Installer tagab programmi automaatse käivitumise pärast taaskäivitamist, lisades registrisse käsurea argumente (--cm). Need argumendid võimaldavad pahavaral saada juhiseid erinevate pahatahtlike rutiinide käivitamiseks.
Rünnaku ajajoon
Juurdlused näitavad, et kampaania algas 26. juunil 2025, mis langes kokku mitme võltsitud saidi registreerimise ja vähemalt viie PDF-redaktorit reklaamiva Google'i reklaamikampaania käivitamisega. Alguses tundus programm ohutu, kuid see oli loodud korduvalt kaugserveri värskenduste kontrollimiseks.
21. augustil 2025, ligi kaks kuud hiljem, hakkasid nakatunud masinad saama juhiseid, mis aktiveerisid TamperedChefi pahatahtliku koormuse. See etapiviisiline lähenemine võimaldas ründajatel enne pahavara lubamist ohvrite arvu maksimeerida.
TamperedChefi pahatahtlikud võimed
Pärast aktiveerimist teostab TamperedChef luuret, tuvastades installitud turvatööriistad ja sulgedes sunniviisiliselt veebibrauserid. See annab talle juurdepääsu tundlikele andmetele, näiteks salvestatud volitustele ja küpsistele.
Edasine analüüs näitas, et pahavaraga nakatunud redaktor toimib ka tagauksena, millel on mitu käsurea valikut. Need võimaldavad andmete säilitamist, puhastamist, suhtlemist käsklus- ja juhtimisserveritega (C2) ja brauseriandmete manipuleerimist.
Põhifunktsioonid tuvastatud:
--install: Loob ajastatud ülesandeid (PDFEditorScheduledTask, PDFEditorUScheduledTask), mis käivitatakse uuendamise ja varundamise argumentidega, et käivitada kontrolli- ja pingimistoiminguid.
--cleanup: Desinstalliprogrammi poolt käivitatav käsk tagaukse komponentide kustutamiseks, hosti registreeringu tühistamiseks ja ajastatud ülesannete eemaldamiseks.
--ping: Loob C2-side, et saada juhiseid täiendava pahavara allalaadimiseks, registri muutmiseks ja andmete väljafiltreerimiseks.
--check: Võtab ühendust C2-ga konfiguratsioonivärskenduste saamiseks, varastab volitusi, loeb brauserivõtmeid ning muudab Chromiumi, OneLaunchi ja Wave'i brausereid.
--reboot: Sarnane käsuga --check, aga suudab ka teatud protsesse lõpetada.
Reklaamikampaaniate strateegiline kuritarvitamine
Ründajate ajastusvalik on tähelepanuväärne. 56-päevane viivitus kampaania käivitamise ja pahatahtliku aktiveerimise vahel vastab täpselt Google'i reklaamikampaaniate tüüpilisele 60-päevasele elueale. See viitab sellele, et ründajad lasid reklaamidel tahtlikult kogu oma aja jooksul töötada, maksimeerides nähtavust ja allalaadimiste arvu enne TamperedChefi täielike võimaluste valla päästmist.
