TamperedChef-haittaohjelma
Uhkatoimijat hyödyntävät väärennettyjä asennusohjelmia, jotka naamioituvat laajalti käytetyiksi sovelluksiksi maailmanlaajuisessa TampereredChef-nimisessä haittaohjelmakampanjassa. Näitä väärennettyjä ohjelmia lataavat käyttäjät asentavat vahingossa haittaohjelmia, jotka on suunniteltu luomaan pysyvän järjestelmän heidän järjestelmiinsä ja ottamaan käyttöön JavaScript-takaoven etäkäyttöä ja -hallintaa varten. Raportointihetkellä kampanja oli edelleen aktiivinen, uusia haitallisia esineitä havaittiin ja niihin liittyvä infrastruktuuri oli edelleen toiminnassa.
Sisällysluettelo
Sosiaalinen manipulointi ja luottamuksen hyväksikäyttö
TampereredChefin takana olevat operaattorit hyödyntävät sosiaalisen manipuloinnin tekniikoita maksimoidakseen käyttäjien luottamuksen ja välttääkseen paljastumisen. Heidän menetelmiinsä kuuluvat:
- Tuttujen sovellusnimien käyttäminen latausten houkuttelemiseen
- Haittamainoskampanjoiden käyttöönotto käyttäjien tavoittamiseksi verkkomainosten kautta
- Hakukoneoptimoinnin (SEO) taktiikoiden käyttäminen hakutuloksissa näkymiseen
- Haittaohjelmien allekirjoittaminen väärinkäytetyillä digitaalisilla varmenteilla, jotka antavat vaikutelman laillisuudesta
Sertifikaatteja myönnetään usein Yhdysvalloissa, Panamassa ja Malesiassa rekisteröidyille kuoriyrityksille. Kun vanhoja sertifikaatteja peruutetaan, hyökkääjät hankkivat jatkuvasti uusia eri yritysten nimillä ja ylläpitävät siten laillisuuden vaikutelmaa. Tietoturva-asiantuntijat ovat kuvailleet tätä infrastruktuuria erittäin organisoiduksi, mikä mahdollistaa luotettavan näköisten asentajien tasaisen tuotannon.
Haittaohjelmaperhe ja kampanjakonteksti
TampererdChef on osa suurempaa kampanjaa, jonka koodinimi on EvilAI ja joka käyttää tekoälyyn (AI) liittyviä houkuttimia haittaohjelmien levittämiseen. Vaikka TampererdChefistä itsestään on tullut haittaohjelmaperheen laajalti käytössä oleva nimi, sitä seurataan joissakin raporteissa myös nimellä BaoLoader. Nimi TampererdChef auttaa ylläpitämään johdonmukaisuutta kyberturvallisuusjulkaisuissa ja toimittajien havainnoissa, vaikka se eroaa alkuperäisestä TampererdChef-haittaohjelmasta, joka on upotettu haitalliseen reseptisovellukseen.
Miten hyökkäys etenee
Tyypillinen hyökkäysskenaario sisältää:
- Hakukoneista PDF-editorien tai tuotekäyttöohjeiden etsimiseen näytetään väärennettyjä URL-osoitteita tai haitallisia mainoksia.
- Näiden linkkien napsauttaminen ohjaa käyttäjät ansoilla oleville verkkotunnuksille, jotka on usein rekisteröity NameCheapin kautta, ja kehottaa heitä lataamaan väärennetyn asennusohjelman.
- Asennusohjelma pyytää käyttäjiä hyväksymään vakiokäyttöoikeusehdot ja avaa sitten kiitossivun uuteen selainvälilehteen pitääkseen juonen voimassa.
- Taustalla pudotetaan XML-tiedosto, joka luo ajoitetun tehtävän, joka käynnistää hämärretyn JavaScript-takaportin.
- Takaovi kommunikoi ulkoisten palvelimien kanssa ja välittää järjestelmän metatietoja, kuten istuntotunnuksen ja koneen tunnuksen, jotka on koodattu salattuun Base64 JSON -muotoon HTTPS-yhteyden kautta.
Kampanjan lopulliset tavoitteet ovat edelleen epäselviä. Jotkin haittaohjelmamuunnelmat helpottavat mainospetoksia, kun taas toisilla voitaisiin ansaita rahaa myymällä käyttöoikeuksia kyberrikollisille tai keräämällä arkaluonteisia tietoja maanalaisille foorumeille.
Maantieteellinen ja toimialakohtainen vaikutus
Telemetriatiedot osoittavat, että yhdysvaltalaiset käyttäjät ovat eniten kärsineitä, ja tartuntoja on raportoitu lisää Israelista, Espanjasta, Saksasta, Intiasta ja Irlannista. Eniten kärsineitä aloja ovat terveydenhuolto, rakentaminen ja valmistus, todennäköisesti siksi, että ne ovat usein riippuvaisia erikoislaitteista ja tuoteoppaiden verkkohauista, joita hyökkääjät hyödyntävät.
