Malware TamperedChef

Gli autori delle minacce stanno sfruttando falsi programmi di installazione mascherati da applicazioni ampiamente utilizzate in una campagna di malvertising globale nota come TamperedChef. Gli utenti che scaricano questi programmi contraffatti installano inavvertitamente malware progettati per stabilire la persistenza sui loro sistemi e implementare una backdoor JavaScript per l'accesso e il controllo remoto. Al momento della segnalazione, la campagna era ancora attiva, con nuovi artefatti dannosi rilevati e l'infrastruttura associata ancora operativa.

Ingegneria sociale e sfruttamento della fiducia

Gli operatori dietro TamperedChef sfruttano tecniche di ingegneria sociale per massimizzare la fiducia degli utenti ed eludere il rilevamento. I loro metodi includono:

• Utilizzo di nomi di applicazioni familiari per invogliare i download
• Implementazione di campagne di malvertising per raggiungere gli utenti tramite annunci online
• Utilizzo di tattiche di ottimizzazione per i motori di ricerca (SEO) per apparire nei risultati di ricerca
• Firma di malware con certificati digitali abusati, che conferiscono un'aria di legittimità

I certificati vengono spesso rilasciati a società fittizie registrate negli Stati Uniti, a Panama e in Malesia. Man mano che i certificati più vecchi vengono revocati, gli aggressori ne acquisiscono continuamente di nuovi con nomi aziendali diversi, mantenendo un'apparenza di legittimità. Gli esperti di sicurezza informatica hanno descritto questa infrastruttura come altamente organizzata, che consente la produzione costante di programmi di installazione dall'aspetto affidabile.

Famiglia di malware e contesto della campagna

TamperedChef fa parte di una campagna più ampia con nome in codice EvilAI, che utilizza esche legate a strumenti e software di intelligenza artificiale (IA) per la distribuzione di malware. Sebbene TamperedChef sia diventato il nome ampiamente adottato per la famiglia di malware, in alcuni report viene anche identificato come BaoLoader. Il nome TamperedChef aiuta a mantenere la coerenza tra le pubblicazioni sulla sicurezza informatica e i rilevamenti dei fornitori, sebbene differisca dal malware TamperedChef originale incorporato in un'applicazione di ricette dannosa.

Come si svolge l’attacco

Uno scenario di attacco tipico include:

• Gli utenti che cercano editor PDF o manuali di prodotti sui motori di ricerca si ritrovano di fronte a URL infetti o annunci dannosi.
• Cliccando su questi link gli utenti vengono reindirizzati a domini trappola, spesso registrati tramite NameCheap, che li inducono a scaricare un falso programma di installazione.
• Il programma di installazione chiede agli utenti di accettare i termini di licenza standard, quindi apre una pagina di ringraziamento in una nuova scheda del browser per mantenere l'inganno.

• In background, viene rilasciato un file XML, creando un'attività pianificata che avvia una backdoor JavaScript offuscata.

• La backdoor comunica con server esterni, trasmettendo metadati di sistema, come ID sessione e ID macchina, codificati in formato Base64 JSON crittografato tramite HTTPS.

Gli obiettivi finali della campagna rimangono poco chiari. Alcune varianti di malware facilitano le frodi pubblicitarie, mentre altre potrebbero essere monetizzate attraverso la vendita dell'accesso ai criminali informatici o la raccolta di dati sensibili per forum clandestini.

Impatto geografico e settoriale

La telemetria indica che gli utenti statunitensi sono i più colpiti, con ulteriori infezioni segnalate in Israele, Spagna, Germania, India e Irlanda. I settori più colpiti includono sanità, edilizia e produzione, probabilmente a causa del frequente ricorso ad attrezzature specializzate e alla ricerca online di manuali di prodotto, sfruttati dagli aggressori.