Zlonamjerni softver TamperedChef
Akteri prijetnji iskorištavaju lažne instalacijske programe koji se maskiraju kao široko korištene aplikacije u globalnoj kampanji zlonamjernog oglašavanja poznatoj kao TamperedChef. Korisnici koji preuzimaju ove krivotvorene programe nenamjerno instaliraju zlonamjerni softver osmišljen za uspostavljanje trajnosti na njihovim sustavima i postavljanje JavaScript backdoora za udaljeni pristup i kontrolu. U vrijeme izvješćivanja, kampanja je ostala aktivna, s otkrivenim novim zlonamjernim artefaktima i povezanom infrastrukturom koja je i dalje u funkciji.
Sadržaj
Socijalni inženjering i iskorištavanje povjerenja
Operateri koji stoje iza TamperedChefa koriste tehnike društvenog inženjeringa kako bi maksimizirali povjerenje korisnika i izbjegli otkrivanje. Njihove metode uključuju:
- Korištenje poznatih naziva aplikacija za privlačenje preuzimanja
- Implementacija kampanja zlonamjernog oglašavanja za dosezanje korisnika putem online oglasa
- Korištenje taktika optimizacije za tražilice (SEO) za pojavljivanje u rezultatima pretraživanja
- Potpisivanje zlonamjernog softvera zloupotrijebljenim digitalnim certifikatima, koji daju privid legitimnosti
Certifikati se često izdaju fiktivnim tvrtkama registriranim u SAD-u, Panami i Maleziji. Kako se stariji certifikati opozivaju, napadači kontinuirano nabavljaju nove pod drugim nazivima tvrtki, održavajući privid legitimnosti. Stručnjaci za infosec opisali su ovu infrastrukturu kao visoko organiziranu, što omogućuje stalnu proizvodnju instalatera koji izgledaju pouzdano.
Obitelj zlonamjernog softvera i kontekst kampanje
TamperedChef je dio veće kampanje kodnog naziva EvilAI, koja koristi mamce povezane s alatima i softverom umjetne inteligencije (AI) za distribuciju zlonamjernog softvera. Iako je sam TamperedChef postao široko prihvaćen naziv za obitelj zlonamjernog softvera, u nekim se izvješćima prati i kao BaoLoader. Naziv TamperedChef pomaže u održavanju dosljednosti u publikacijama o kibernetičkoj sigurnosti i detekcijama dobavljača, iako se razlikuje od izvornog zlonamjernog softvera TamperedChef ugrađenog u zlonamjernu aplikaciju za recepte.
Kako se napad odvija
Tipičan scenarij napada uključuje:
- Korisnicima koji na tražilicama traže PDF uređivače ili priručnike za proizvode prikazuju se zaraženi URL-ovi ili zlonamjerni oglasi.
- Klikom na ove poveznice korisnici se preusmjeravaju na zamke na domenama, često registriranim putem NameCheap-a, što ih potiče na preuzimanje lažnog instalacijskog programa.
- Instalacijski program traži od korisnika da prihvate standardne uvjete licenciranja, a zatim otvara stranicu zahvale u novoj kartici preglednika kako bi održao prijevaru.
- U pozadini se izbacuje XML datoteka, stvarajući zakazani zadatak koji pokreće maskirani JavaScript backdoor.
- Stražnja vrata komuniciraju s vanjskim poslužiteljima, prenoseći metapodatke sustava, kao što su ID sesije i ID računala, kodirane u šifriranom Base64 JSON-u putem HTTPS-a.
Krajnji ciljevi kampanje ostaju nejasni. Neke varijante zlonamjernog softvera olakšavaju prijevaru u oglašavanju, dok se druge mogu unovčiti prodajom pristupa kibernetičkim kriminalcima ili prikupljanjem osjetljivih podataka za podzemne forume.
Geografski i sektorski utjecaj
Telemetrija pokazuje da su korisnici u SAD-u najviše pogođeni, a dodatne infekcije zabilježene su u Izraelu, Španjolskoj, Njemačkoj, Indiji i Irskoj. Među najpogođenijim sektorima su zdravstvo, građevinarstvo i proizvodnja, vjerojatno zbog njihovog čestog oslanjanja na specijaliziranu opremu i online pretraživanja priručnika za proizvode, što napadači iskorištavaju.
