TamperedChef Stealer
Kyberturvallisuustutkijat ovat paljastaneet haitallisen kampanjan, joka hyödyntää harhaanjohtavia verkkomainoksia levittääkseen uutta tietoa varastavaa ohjelmaa nimeltä TampereredChef. Operaatio perustuu haitalliseen mainontaan, jolla käyttäjät ohjataan huijaussivustoille, joilla heidät houkutellaan lataamaan troijalainen PDF-editori.
Sisällysluettelo
Troijalainen PDF-editori houkuttimena
AppSuite PDF Editorina mainostettu väärennetty ohjelmisto huijaa käyttäjiä asentamaan näennäisesti laillisen työkalun. Asennuksen aikana uhreille esitetään käyttöehdot, jotka luovat illuusion laillisuudesta. Kulissien takana asennusohjelma kuitenkin muodostaa salaa yhteyden etäpalvelimeen poistaakseen editorisovelluksen ja samalla muokatakseen Windowsin rekisteriä pysyvyyden varmistamiseksi.
Asennusohjelma varmistaa, että ohjelma käynnistyy automaattisesti uudelleenkäynnistyksen jälkeen upottamalla komentoriviargumentteja (--cm) rekisteriin. Näiden argumenttien avulla haittaohjelma voi vastaanottaa ohjeita erilaisten haitallisten rutiinien suorittamiseksi.
Hyökkäyksen aikajana
Tutkimukset viittaavat siihen, että kampanja alkoi 26. kesäkuuta 2025, samaan aikaan useiden väärennettyjen sivustojen rekisteröinnin ja ainakin viiden PDF-editoria mainostavan Google-mainoskampanjan käynnistämisen kanssa. Aluksi ohjelma vaikutti uhkaamattomalta, mutta se oli suunniteltu tarkistamaan toistuvasti päivityksiä etäpalvelimelta.
Lähes kaksi kuukautta myöhemmin, 21. elokuuta 2025, tartunnan saaneet koneet alkoivat vastaanottaa ohjeita, jotka aktivoivat TamperedChefin haitallisen hyötykuorman. Tämä vaiheittainen lähestymistapa mahdollisti hyökkääjien maksimoida uhrien määrän ennen haittaohjelman käyttöönottoa.
TamperedChefin haitalliset ominaisuudet
Aktivoinnin jälkeen TampereredChef suorittaa tiedustelua tunnistamalla asennetut tietoturvatyökalut ja sulkemalla verkkoselaimet pakotetusti. Tämä antaa sille pääsyn arkaluonteisiin tietoihin, kuten tallennettuihin tunnistetietoihin ja evästeisiin.
Lisäanalyysi paljasti, että haittaohjelmien kyllästämä editori toimii myös takaporttina, jossa on useita komentorivivalitsimia. Nämä mahdollistavat tietojen pysyvyyden, puhdistuksen, kommunikoinnin komento- ja hallintapalvelimien (C2) kanssa ja selaintietojen manipuloinnin.
Tunnistetut keskeiset toiminnot:
--install: Luo ajoitettuja tehtäviä (PDFEditorScheduledTask, PDFEditorUScheduledTask), jotka suoritetaan päivitys- ja varmuuskopiointiargumenteilla tarkistus- ja ping-toimintojen käynnistämiseksi.
--cleanup: Poisto-ohjelman suorittama toiminto poistaa takaporttikomponentit, poistaa isännän rekisteröinnin ja poistaa ajoitetut tehtävät.
--ping: Muodostaa C2-yhteyden saadakseen ohjeita haittaohjelmien lataamiseen, rekisterin muuttamiseen ja tietojen vuotamiseen.
--check: Ottaa yhteyttä C2:een määrityspäivityksiä varten, varastaa tunnistetiedot, lukee selainavaimet ja muokkaa Chromium-, OneLaunch- ja Wave-selaimia.
--reboot: Samanlainen kuin --check, mutta pystyy myös lopettamaan tiettyjä prosesseja.
Mainoskampanjoiden strateginen väärinkäyttö
Hyökkääjien ajoitusvalinta on huomionarvoinen. Kampanjan käynnistyksen ja haitallisen aktivoinnin välinen 56 päivän viive vastaa läheisesti Googlen mainoskampanjoiden tyypillistä 60 päivän elinkaarta. Tämä viittaa siihen, että hyökkääjät antoivat mainosten tarkoituksella jatkua loppuun asti maksimoiden näkyvyyden ja lataukset ennen kuin päästivät TamperedChefin kaikki ominaisuudet valloilleen.
