TamperedChef 맬웨어

위협 행위자들은 TamperedChef라는 글로벌 악성 광고 캠페인에서 널리 사용되는 애플리케이션으로 위장한 가짜 설치 프로그램을 악용하고 있습니다. 이러한 위조 프로그램을 다운로드한 사용자는 시스템에 영구적으로 저장되도록 설계된 악성코드를 무심코 설치하고 원격 접근 및 제어를 위한 자바스크립트 백도어를 배포합니다. 보고 시점을 기준으로 해당 캠페인은 여전히 활성화되어 있었으며, 새로운 악성 아티팩트가 감지되었고 관련 인프라는 여전히 작동 중입니다.

사회 공학 및 신뢰 악용

TamperedChef 운영자들은 사용자 신뢰를 극대화하고 탐지를 피하기 위해 소셜 엔지니어링 기법을 활용합니다. 이들의 방법은 다음과 같습니다.

• 익숙한 애플리케이션 이름을 사용하여 다운로드를 유도합니다.
• 온라인 광고를 통해 사용자에게 도달하기 위한 악성 광고 캠페인 배포
• 검색 결과에 나타나기 위해 검색 엔진 최적화(SEO) 전략 활용
• 합법적인 것처럼 보이게 하는 악용된 디지털 인증서로 맬웨어에 서명

인증서는 미국, 파나마, 말레이시아에 등록된 허울 회사에 발급되는 경우가 많습니다. 기존 인증서가 폐기됨에 따라 공격자는 다른 회사 이름으로 새로운 인증서를 지속적으로 획득하여 합법적인 것처럼 보이도록 합니다. 정보보안 전문가들은 이러한 인프라가 매우 체계적이며, 신뢰할 수 있는 설치 프로그램을 꾸준히 생산할 수 있다고 설명합니다.

맬웨어 패밀리 및 캠페인 컨텍스트

TamperedChef는 악성코드 유포를 위해 인공지능(AI) 도구 및 소프트웨어와 연계된 미끼를 사용하는 EvilAI라는 코드명의 대규모 캠페인의 일부입니다. TamperedChef 자체가 이 악성코드 계열의 널리 사용되는 명칭이 되었지만, 일부 보고서에서는 BaoLoader라는 이름으로도 추적됩니다. TamperedChef라는 이름은 악성 레시피 애플리케이션에 내장된 원래 TamperedChef 악성코드와는 다르지만, 사이버 보안 관련 출판물과 공급업체 탐지에서 일관성을 유지하는 데 도움이 됩니다.

공격이 전개되는 방식

일반적인 공격 시나리오는 다음과 같습니다.

• 검색 엔진에서 PDF 편집기나 제품 설명서를 검색하는 사용자에게는 악성 URL이나 악성 광고가 표시됩니다.
• 이러한 링크를 클릭하면 사용자는 NameCheap을 통해 등록된, 종종 위험한 도메인으로 리디렉션되어 가짜 설치 프로그램을 다운로드하게 됩니다.
• 설치 프로그램은 사용자에게 표준 라이선스 조건에 동의하도록 요청한 다음, 새 브라우저 탭에서 감사 페이지를 열어 속임수를 유지합니다.

이 캠페인의 최종 목표는 아직 불분명합니다. 일부 악성코드 변종은 광고 사기를 조장하는 반면, 다른 변종은 사이버 범죄자에게 접근 권한을 판매하거나 지하 포럼을 위해 민감한 데이터를 수집하여 수익을 창출할 수 있습니다.

지리적 및 부문적 영향

원격 측정 결과에 따르면 미국 사용자가 가장 큰 피해를 입었으며, 이스라엘, 스페인, 독일, 인도, 아일랜드에서도 추가 감염 사례가 보고되었습니다. 가장 큰 피해를 입은 분야는 의료, 건설, 제조업인데, 이는 공격자들이 특수 장비에 자주 의존하고 제품 설명서를 온라인에서 검색하는 경향이 있기 때문일 가능성이 높습니다.