بدافزار TamperedChef

عاملان تهدید در حال سوءاستفاده از نصب‌کننده‌های جعلی هستند که خود را به عنوان برنامه‌های کاربردی پرکاربرد در یک کمپین جهانی تبلیغات مخرب معروف به TamperedChef جا می‌زنند. کاربرانی که این برنامه‌های جعلی را دانلود می‌کنند، ناخواسته بدافزاری را نصب می‌کنند که برای ایجاد پایداری در سیستم‌های آنها طراحی شده و یک در پشتی جاوا اسکریپت را برای دسترسی و کنترل از راه دور مستقر می‌کند. در زمان گزارش، این کمپین همچنان فعال بوده و مصنوعات مخرب جدیدی شناسایی شده و زیرساخت‌های مرتبط هنوز عملیاتی هستند.

مهندسی اجتماعی و سوءاستفاده از اعتماد

گردانندگان TamperedChef از تکنیک‌های مهندسی اجتماعی برای به حداکثر رساندن اعتماد کاربر و جلوگیری از شناسایی استفاده می‌کنند. روش‌های آنها شامل موارد زیر است:

• استفاده از نام‌های آشنا برای برنامه‌ها جهت ترغیب به دانلود
• راه‌اندازی کمپین‌های تبلیغات مخرب برای دسترسی به کاربران از طریق تبلیغات آنلاین
• استفاده از تاکتیک‌های بهینه‌سازی موتور جستجو (سئو) برای نمایش در نتایج جستجو
• امضای بدافزار با گواهی‌های دیجیتال سوءاستفاده‌شده که ظاهری قانونی به آن می‌دهند

گواهینامه‌ها اغلب به شرکت‌های صوری ثبت‌شده در ایالات متحده، پاناما و مالزی صادر می‌شوند. با لغو گواهینامه‌های قدیمی‌تر، مهاجمان به‌طور مداوم گواهینامه‌های جدیدی را با نام‌های مختلف شرکت به دست می‌آورند و ظاهر قانونی خود را حفظ می‌کنند. کارشناسان Infosec این زیرساخت را بسیار سازمان‌یافته توصیف کرده‌اند که امکان تولید مداوم نصاب‌های با ظاهر قابل اعتماد را فراهم می‌کند.

خانواده بدافزار و زمینه کمپین

TamperedChef بخشی از یک کمپین بزرگتر با نام رمز EvilAI است که از فریب‌های مرتبط با ابزارها و نرم‌افزارهای هوش مصنوعی (AI) برای توزیع بدافزار استفاده می‌کند. در حالی که خود TamperedChef به نامی رایج برای این خانواده بدافزار تبدیل شده است، در برخی گزارش‌ها با نام BaoLoader نیز ردیابی می‌شود. نام TamperedChef به حفظ ثبات در انتشارات امنیت سایبری و شناسایی‌های فروشندگان کمک می‌کند، اگرچه با بدافزار اصلی TamperedChef که در یک برنامه دستور پخت مخرب جاسازی شده بود، متفاوت است.

چگونه حمله آشکار می‌شود

یک سناریوی حمله معمولی شامل موارد زیر است:

• کاربرانی که در موتورهای جستجو به دنبال ویرایشگرهای PDF یا دفترچه‌های راهنمای محصولات می‌گردند، با URLهای آلوده یا تبلیغات مخرب مواجه می‌شوند.
• کلیک روی این لینک‌ها کاربران را به دامنه‌های تله‌گذاری‌شده هدایت می‌کند که اغلب از طریق NameCheap ثبت شده‌اند و آنها را وادار به دانلود یک نصب‌کننده جعلی می‌کنند.
• نصب‌کننده از کاربران می‌خواهد که با شرایط استاندارد مجوز موافقت کنند، سپس یک صفحه تشکر در یک تب جدید مرورگر باز می‌کند تا این ترفند را ادامه دهد.

اهداف نهایی این کمپین هنوز مشخص نیست. برخی از انواع بدافزارها کلاهبرداری تبلیغاتی را تسهیل می‌کنند، در حالی که برخی دیگر می‌توانند از طریق فروش دسترسی به مجرمان سایبری یا با جمع‌آوری داده‌های حساس برای انجمن‌های زیرزمینی، درآمد کسب کنند.

تأثیر جغرافیایی و بخشی

تله‌متری نشان می‌دهد که کاربران آمریکایی بیشترین آسیب را دیده‌اند و آلودگی‌های بیشتری در اسرائیل، اسپانیا، آلمان، هند و ایرلند گزارش شده است. بخش‌هایی که بیشترین آسیب را دیده‌اند شامل مراقبت‌های بهداشتی، ساخت و ساز و تولید هستند که احتمالاً به دلیل وابستگی مکرر آنها به تجهیزات تخصصی و جستجوهای آنلاین برای دفترچه‌های راهنمای محصولات است که مهاجمان از آنها سوءاستفاده می‌کنند.