Kradljivac TamperedChef-a
Istraživači kibernetičke sigurnosti otkrili su zlonamjernu kampanju koja koristi obmanjujuće online oglase za distribuciju novog kradljivca informacija poznatog kao TamperedChef. Operacija se oslanja na zlonamjerno oglašavanje kako bi usmjerila korisnike na lažne stranice gdje ih se nagovara da preuzmu trojanski PDF uređivač.
Sadržaj
Trojanizirani PDF uređivač kao mamac
Lažni softver, promoviran kao AppSuite PDF Editor, vara korisnike da instaliraju ono što se čini kao legitimni alat. Tijekom instalacije, žrtvama se prikazuje ugovor o uvjetima korištenja, što daje iluziju legitimnosti. Međutim, iza kulisa, instalacijski program se potajno povezuje s udaljenim poslužiteljem kako bi uklonio aplikaciju za uređivanje, a istovremeno mijenja Windows registar kako bi osigurao trajnost.
Instalacijski program osigurava automatsko pokretanje programa nakon ponovnog pokretanja ugradnjom argumenata naredbenog retka (--cm) u registar. Ti argumenti omogućuju zlonamjernom softveru primanje uputa za izvršavanje različitih zlonamjernih rutina.
Vremenska crta napada
Istrage sugeriraju da je kampanja započela 26. lipnja 2025., što se poklopilo s registracijom nekoliko krivotvorenih stranica i pokretanjem najmanje pet Googleovih oglasnih kampanja koje promoviraju PDF uređivač. U početku se program činio bezopasnim, ali je bio dizajniran da više puta provjerava ažuriranja s udaljenog poslužitelja.
Dana 21. kolovoza 2025., gotovo dva mjeseca kasnije, zaražena računala počela su primati upute koje su aktivirale zlonamjerni sadržaj TamperedChefa. Ovaj postupni pristup omogućio je napadačima da maksimiziraju broj žrtava prije omogućavanja zlonamjernog softvera.
Zlonamjerne sposobnosti TamperedChefa
Nakon aktivacije, TamperedChef provodi izviđanje identificiranjem instaliranih sigurnosnih alata i prisilnim gašenjem web preglednika. To mu omogućuje pristup osjetljivim podacima kao što su pohranjeni vjerodajnice i kolačići.
Daljnja analiza otkrila je da uređivač sadržaja pun zlonamjernog softvera funkcionira i kao stražnja vrata s više opcija naredbenog retka. One omogućuju postojanost, čišćenje, komunikaciju s naredbenim i kontrolnim (C2) poslužiteljima i manipulaciju podacima preglednika.
Identificirane ključne funkcije:
--install: Stvara zakazane zadatke (PDFEditorScheduledTask, PDFEditorUScheduledTask) koji se pokreću s argumentima ažuriranja i sigurnosne kopije za pokretanje operacija provjere i pinganja.
--cleanup: Izvršava ga program za deinstalaciju kako bi izbrisao komponente stražnjih vrata, odregistrirao host i uklonio planirane zadatke.
--ping: Uspostavlja C2 komunikaciju za primanje uputa za preuzimanje dodatnog zlonamjernog softvera, mijenjanje registra i uklanjanje podataka.
--check: Kontaktira C2 za ažuriranja konfiguracije, krade vjerodajnice, čita ključeve preglednika i mijenja preglednike Chromium, OneLaunch i Wave.
--reboot: Slično kao --check, ali također može završiti određene procese.
Strateška zlouporaba oglasnih kampanja
Značajan je izbor vremena napadača. Kašnjenje od 56 dana između pokretanja kampanje i zlonamjerne aktivacije gotovo se podudara s tipičnim životnim vijekom Google oglasnih kampanja od 60 dana. To sugerira da su akteri prijetnje namjerno dopustili oglasima da se prikažu u cijelosti, maksimizirajući izloženost i preuzimanja prije nego što su oslobodili pune mogućnosti TamperedChefa.
