TamperedChef kártevő

A fenyegetések szereplői hamis telepítőket használnak ki, amelyek széles körben használt alkalmazásoknak álcázzák magukat egy TampererdChef néven ismert globális rosszindulatú hirdetési kampányban. Az ilyen hamisított programokat letöltők véletlenül olyan rosszindulatú programokat telepítenek, amelyek célja, hogy perzisztens környezetet hozzanak létre a rendszerükön, és egy JavaScript hátsó ajtót hozzanak létre a távoli hozzáférés és vezérlés érdekében. A jelentéstétel idején a kampány továbbra is aktív maradt, új rosszindulatú elemeket észleltek, és a kapcsolódó infrastruktúra továbbra is működött.

Szociális manipuláció és bizalom kiaknázása

A TamperedChef mögött álló üzemeltetők a társadalmi manipuláció technikáit alkalmazzák a felhasználói bizalom maximalizálása és az észlelés elkerülése érdekében. Módszereik a következők:

• Ismerős alkalmazásnevek használata a letöltések ösztönzésére
• Rosszindulatú hirdetésekkel kapcsolatos kampányok telepítése a felhasználók online hirdetéseken keresztüli eléréséhez
• Keresőoptimalizálási (SEO) taktikák alkalmazása a keresési eredmények között való megjelenés érdekében
• Rosszindulatú programok aláírása visszaélésszerű digitális tanúsítványokkal, amelyek legitimitás látszatát keltik

A tanúsítványokat gyakran az Egyesült Államokban, Panamában és Malajziában bejegyzett fiktív cégeknek adják ki. Ahogy a régebbi tanúsítványokat visszavonják, a támadók folyamatosan újakat szereznek más cégnevek alatt, fenntartva a legitimitás látszatát. Az infobiz szakértők ezt az infrastruktúrát magasan szervezettnek írták le, amely lehetővé teszi a megbízhatónak tűnő telepítők folyamatos előállítását.

Kártevőcsalád és kampány kontextus

A TamperedChef egy nagyobb, EvilAI kódnevű kampány része, amely mesterséges intelligencia (MI) eszközökhöz és szoftverekhez kötött csalikat használ a rosszindulatú programok terjesztésére. Bár maga a TamperedChef vált a rosszindulatú programcsalád széles körben elfogadott nevévé, egyes jelentésekben BaoLoader néven is nyomon követik. A TamperedChef név segít fenntartani az egységességet a kiberbiztonsági publikációkban és a szállítók észlelésében, annak ellenére, hogy eltér az eredeti, rosszindulatú receptalkalmazásba ágyazott TamperedChef rosszindulatú programtól.

Hogyan bontakozik ki a támadás

Egy tipikus támadási forgatókönyv a következőket tartalmazza:

• A keresőmotorokban PDF-szerkesztőket vagy termékkézikönyveket kereső felhasználók mérgezett URL-eket vagy rosszindulatú hirdetéseket kapnak.
• Ezekre a linkekre kattintva a felhasználók csapdákkal teli, gyakran a NameCheap-en keresztül regisztrált domainekre irányítódnak át, ahol egy hamis telepítő letöltésére kényszerülnek.
• A telepítő megkéri a felhasználókat, hogy fogadják el a szokásos licencfeltételeket, majd egy új böngészőlapon megnyit egy köszönőoldalt a csel fenntartása érdekében.

• A háttérben egy XML fájl kerül mentésre, létrehozva egy ütemezett feladatot, amely elindít egy obfuszkált JavaScript hátsó ajtót.

• A hátsó ajtó külső szerverekkel kommunikál, és HTTPS-en keresztül titkosított Base64 JSON-ban kódolt rendszer metaadatokat, például munkamenet-azonosítót és gépazonosítót továbbít.

A kampány végső céljai továbbra sem tisztázottak. Egyes rosszindulatú programváltozatok reklámcsalásokat tesznek lehetővé, míg másokat kiberbűnözőknek eladott hozzáférések vagy illegális fórumok számára bizalmas adatok gyűjtése révén lehetne pénzzé tenni.

Földrajzi és ágazati hatás

A telemetriai adatok azt mutatják, hogy az amerikai felhasználók a leginkább érintettek, további fertőzésekről Izraelben, Spanyolországban, Németországban, Indiában és Írországban is jelentettek bejelentéseket. A leginkább érintett ágazatok közé tartozik az egészségügy, az építőipar és a gyártás, valószínűleg a speciális berendezésekre és a termékismertetők online keresésére való gyakori támaszkodásuk miatt, amelyeket a támadók kihasználnak.