TamperedChef चोर
साइबर सुरक्षा शोधकर्ताओं ने एक दुर्भावनापूर्ण अभियान का पर्दाफ़ाश किया है जो भ्रामक ऑनलाइन विज्ञापनों का इस्तेमाल करके टैम्पर्डशेफ़ नामक एक नई जानकारी चुराने वाली तकनीक फैलाता है। यह अभियान उपयोगकर्ताओं को धोखाधड़ी वाली साइटों पर ले जाने के लिए मैलवेयर विज्ञापन का सहारा लेता है, जहाँ उन्हें एक ट्रोजन-संचालित पीडीएफ संपादक डाउनलोड करने के लिए प्रेरित किया जाता है।
विषयसूची
ट्रोजनाइज्ड पीडीएफ एडिटर एक आकर्षण
ऐपसूट पीडीएफ एडिटर के नाम से प्रचारित यह नकली सॉफ्टवेयर, उपयोगकर्ताओं को एक वैध टूल जैसा दिखने वाला टूल इंस्टॉल करने के लिए प्रेरित करता है। इंस्टॉलेशन के दौरान, पीड़ितों को सेवा की शर्तों का एक समझौता दिखाया जाता है, जिससे उन्हें वैधता का भ्रम होता है। हालाँकि, पर्दे के पीछे, इंस्टॉलर संपादक एप्लिकेशन को हटाने के लिए गुप्त रूप से एक दूरस्थ सर्वर से जुड़ता है और साथ ही, स्थायित्व स्थापित करने के लिए विंडोज रजिस्ट्री में भी बदलाव करता है।
इंस्टॉलर यह सुनिश्चित करता है कि रीबूट के बाद प्रोग्राम स्वचालित रूप से लॉन्च हो जाए, इसके लिए रजिस्ट्री में कमांड-लाइन तर्क (--cm) एम्बेड किए जाते हैं। ये तर्क मैलवेयर को विभिन्न दुर्भावनापूर्ण रूटीन निष्पादित करने के निर्देश प्राप्त करने में सक्षम बनाते हैं।
हमले की समयरेखा
जाँच से पता चलता है कि यह अभियान 26 जून, 2025 को शुरू हुआ था, और इसी दौरान कई नकली साइटों का पंजीकरण हुआ और पीडीएफ एडिटर को बढ़ावा देने वाले कम से कम पाँच गूगल विज्ञापन अभियान शुरू हुए। शुरुआत में, यह प्रोग्राम कोई ख़तरा नहीं लग रहा था, लेकिन इसे रिमोट सर्वर से बार-बार अपडेट की जाँच करने के लिए डिज़ाइन किया गया था।
लगभग दो महीने बाद, 21 अगस्त, 2025 को, संक्रमित मशीनों को निर्देश मिलने लगे जिनसे टैम्पर्डशेफ का दुर्भावनापूर्ण पेलोड सक्रिय हो गया। इस चरणबद्ध तरीके से हमलावर मैलवेयर को सक्रिय करने से पहले पीड़ितों की संख्या को अधिकतम कर सकते थे।
टैम्पर्डशेफ की दुर्भावनापूर्ण क्षमताएँ
एक बार सक्रिय होने पर, टैम्पर्डशेफ इंस्टॉल किए गए सुरक्षा उपकरणों की पहचान करके और वेब ब्राउज़रों को जबरन बंद करके जासूसी करता है। इससे उसे संग्रहीत क्रेडेंशियल्स और कुकीज़ जैसे संवेदनशील डेटा तक पहुँच मिल जाती है।
आगे के विश्लेषण से पता चला कि मैलवेयर से ग्रस्त यह एडिटर कई कमांड-लाइन विकल्पों के साथ एक बैकडोर की तरह भी काम करता है। ये विकल्प पर्सिस्टेंस, क्लीनअप, कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार और ब्राउज़र डेटा में हेरफेर को सक्षम बनाते हैं।
पहचाने गए प्रमुख कार्य:
--install: शेड्यूल किए गए कार्य (PDFEditorScheduledTask, PDFEditorUScheduledTask) बनाता है जो चेक और पिंग ऑपरेशन को ट्रिगर करने के लिए अपडेट और बैकअप तर्कों के साथ चलते हैं।
--cleanup: अनइंस्टालर द्वारा बैकडोर घटकों को मिटाने, होस्ट को अपंजीकृत करने, तथा शेड्यूल किए गए कार्यों को हटाने के लिए निष्पादित किया जाता है।
--पिंग: अधिक मैलवेयर डाउनलोड करने, रजिस्ट्री में परिवर्तन करने, तथा डेटा निकालने के लिए निर्देश प्राप्त करने हेतु C2 संचार स्थापित करता है।
--check: कॉन्फ़िगरेशन अपडेट के लिए C2 से संपर्क करता है, क्रेडेंशियल्स चुराता है, ब्राउज़र कुंजियाँ पढ़ता है, और क्रोमियम, वनलांच और वेव ब्राउज़र को संशोधित करता है।
--reboot: --check के समान लेकिन विशिष्ट प्रक्रियाओं को समाप्त करने में भी सक्षम।
विज्ञापन अभियानों का रणनीतिक दुरुपयोग
हमलावरों द्वारा समय का चुनाव उल्लेखनीय है। अभियान शुरू होने और दुर्भावनापूर्ण सक्रियण के बीच 56 दिनों का विलंब, Google विज्ञापन अभियानों की सामान्य 60 दिनों की अवधि से काफ़ी मिलता-जुलता है। इससे पता चलता है कि ख़तरा पैदा करने वालों ने जानबूझकर विज्ञापनों को पूरा चलने दिया, जिससे TamperedChef की पूरी क्षमता का इस्तेमाल करने से पहले ही उनकी पहुँच और डाउनलोड अधिकतम हो गए।
