TamperedChef मैलवेयर

टैम्पर्डशेफ नामक एक वैश्विक मैलवेयर अभियान में, ख़तरा पैदा करने वाले तत्व व्यापक रूप से उपयोग किए जाने वाले एप्लिकेशन के रूप में नकली इंस्टॉलरों का शोषण कर रहे हैं। ये नकली प्रोग्राम डाउनलोड करने वाले उपयोगकर्ता अनजाने में अपने सिस्टम पर स्थायी रूप से बने रहने के लिए डिज़ाइन किए गए मैलवेयर इंस्टॉल कर लेते हैं और दूरस्थ पहुँच व नियंत्रण के लिए एक जावास्क्रिप्ट बैकडोर तैनात कर देते हैं। रिपोर्ट किए जाने तक, यह अभियान सक्रिय रहा, जिसमें नए दुर्भावनापूर्ण आर्टफ़ैक्ट्स का पता चला और संबंधित बुनियादी ढाँचा अभी भी चालू था।

सामाजिक इंजीनियरिंग और विश्वास शोषण

टैम्पर्डशेफ के संचालक उपयोगकर्ता के विश्वास को बढ़ाने और पहचान से बचने के लिए सोशल इंजीनियरिंग तकनीकों का इस्तेमाल करते हैं। उनके तरीके इस प्रकार हैं:

• डाउनलोड को आकर्षित करने के लिए परिचित एप्लिकेशन नामों का उपयोग करना
• ऑनलाइन विज्ञापनों के माध्यम से उपयोगकर्ताओं तक पहुँचने के लिए मैलवेयर अभियान चलाना
• खोज परिणामों में प्रदर्शित होने के लिए खोज इंजन अनुकूलन (SEO) युक्तियों का उपयोग करना
• दुर्भावनापूर्ण डिजिटल प्रमाणपत्रों के साथ मैलवेयर पर हस्ताक्षर करना, जो वैधता का आभास देता है

प्रमाणपत्र अक्सर अमेरिका, पनामा और मलेशिया में पंजीकृत फर्जी कंपनियों को जारी किए जाते हैं। जैसे-जैसे पुराने प्रमाणपत्र रद्द होते जाते हैं, हमलावर लगातार अलग-अलग कंपनियों के नामों से नए प्रमाणपत्र हासिल करते रहते हैं, जिससे उनकी वैधता का आभास बना रहता है। इन्फोसेक के विशेषज्ञों ने इस बुनियादी ढाँचे को अत्यधिक संगठित बताया है, जिससे विश्वसनीय दिखने वाले इंस्टॉलरों का लगातार उत्पादन संभव हो पाता है।

मैलवेयर परिवार और अभियान संदर्भ

टैम्पर्डशेफ, एविलएआई कोडनेम वाले एक बड़े अभियान का हिस्सा है, जो मैलवेयर वितरण के लिए कृत्रिम बुद्धिमत्ता (एआई) उपकरणों और सॉफ़्टवेयर से जुड़े प्रलोभनों का इस्तेमाल करता है। हालाँकि टैम्पर्डशेफ स्वयं मैलवेयर परिवार के लिए व्यापक रूप से अपनाया जाने वाला नाम बन गया है, लेकिन कुछ रिपोर्टों में इसे बाओलोडर के रूप में भी ट्रैक किया गया है। टैम्पर्डशेफ नाम साइबर सुरक्षा प्रकाशनों और विक्रेता पहचानों में एकरूपता बनाए रखने में मदद करता है, भले ही यह एक दुर्भावनापूर्ण रेसिपी एप्लिकेशन में एम्बेड किए गए मूल टैम्पर्डशेफ मैलवेयर से अलग हो।

हमला कैसे हुआ

एक सामान्य हमले के परिदृश्य में शामिल हैं:

• सर्च इंजन पर पीडीएफ एडिटर या उत्पाद मैनुअल खोजने वाले उपयोगकर्ताओं को जहरीले यूआरएल या दुर्भावनापूर्ण विज्ञापन दिखाए जाते हैं।
• इन लिंक पर क्लिक करने से उपयोगकर्ता फर्जी डोमेन पर पहुंच जाते हैं, जो अक्सर नेमचीप के माध्यम से पंजीकृत होते हैं, तथा उन्हें नकली इंस्टॉलर डाउनलोड करने के लिए प्रेरित करते हैं।
• इंस्टॉलर उपयोगकर्ताओं से मानक लाइसेंसिंग शर्तों से सहमत होने के लिए कहता है, फिर चाल को जारी रखने के लिए एक नए ब्राउज़र टैब में धन्यवाद पृष्ठ खोलता है।

• पृष्ठभूमि में, एक XML फ़ाइल ड्रॉप हो जाती है, जिससे एक शेड्यूल किया गया कार्य निर्मित होता है, जो एक अस्पष्ट जावास्क्रिप्ट बैकडोर लॉन्च करता है।

• बैकडोर बाह्य सर्वरों के साथ संचार करता है, तथा सिस्टम मेटाडेटा, जैसे सत्र आईडी और मशीन आईडी, को HTTPS पर एन्क्रिप्टेड बेस 64 JSON में एनकोड करता है।

अभियान का अंतिम लक्ष्य अभी भी अस्पष्ट है। कुछ मैलवेयर वेरिएंट विज्ञापन धोखाधड़ी को बढ़ावा देते हैं, जबकि अन्य को साइबर अपराधियों को बेची गई पहुँच के ज़रिए या गुप्त मंचों के लिए संवेदनशील डेटा इकट्ठा करके मुद्रीकृत किया जा सकता है।

भौगोलिक और क्षेत्रीय प्रभाव

टेलीमेट्री से पता चलता है कि अमेरिकी उपयोगकर्ता सबसे ज़्यादा प्रभावित हैं, और इज़राइल, स्पेन, जर्मनी, भारत और आयरलैंड में भी संक्रमण की सूचना मिली है। सबसे ज़्यादा प्रभावित क्षेत्रों में स्वास्थ्य सेवा, निर्माण और विनिर्माण शामिल हैं, संभवतः इसलिए क्योंकि ये क्षेत्र विशेष उपकरणों पर लगातार निर्भर रहते हैं और उत्पाद मैनुअल के लिए ऑनलाइन खोज करते हैं, जिसका हमलावर फ़ायदा उठाते हैं।