TamperedChef Stealer

사이버 보안 연구원들이 사기성 온라인 광고를 이용하여 TamperedChef라는 새로운 정보 탈취 악성 프로그램을 배포하는 악성 캠페인을 발견했습니다. 이 공격은 멀버타이징 기법을 사용하여 사용자를 사기성 사이트로 유인하고, 트로이 목마가 설치된 PDF 편집기를 다운로드하도록 유도합니다.

트로이 목마화된 PDF 편집기를 미끼로 사용

AppSuite PDF Editor로 홍보되는 이 가짜 소프트웨어는 사용자를 속여 합법적인 도구처럼 보이는 프로그램을 설치하도록 합니다. 설치 과정에서 피해자는 서비스 약관을 보게 되어 마치 합법적인 프로그램인 것처럼 착각하게 됩니다. 그러나 이 과정에서 설치 프로그램은 원격 서버에 은밀하게 연결하여 편집기 애플리케이션을 삭제하는 동시에 Windows 레지스트리를 변경하여 영구적으로 프로그램을 유지합니다.

설치 프로그램은 레지스트리에 명령줄 인수(--cm)를 삽입하여 재부팅 후 프로그램이 자동으로 실행되도록 합니다. 이러한 인수를 통해 맬웨어는 다양한 악성 루틴을 실행하기 위한 명령을 수신할 수 있습니다.

공격 타임라인

조사 결과, 이 캠페인은 2025년 6월 26일에 시작된 것으로 추정되며, 이는 여러 가짜 사이트가 등록되고 PDF 편집기를 홍보하는 최소 5개의 구글 광고 캠페인이 시작된 시점과 일치합니다. 처음에는 이 프로그램이 위협적이지 않아 보였지만, 원격 서버에서 업데이트를 반복적으로 확인하도록 설계되었습니다.

약 두 달 후인 2025년 8월 21일, 감염된 기기들은 TamperedChef의 악성 페이로드를 활성화하는 명령을 수신하기 시작했습니다. 이러한 단계적 접근 방식을 통해 공격자는 악성코드를 활성화하기 전에 피해자 수를 극대화할 수 있었습니다.

TamperedChef의 악의적인 기능

TamperedChef는 활성화되면 설치된 보안 도구를 식별하고 웹 브라우저를 강제 종료하는 정찰 활동을 수행합니다. 이를 통해 저장된 자격 증명 및 쿠키와 같은 민감한 데이터에 접근할 수 있습니다.

추가 분석 결과, 악성코드가 포함된 이 편집기는 여러 명령줄 옵션을 갖춘 백도어 역할도 하는 것으로 밝혀졌습니다. 이러한 옵션을 통해 악성코드의 지속성 유지, 삭제, 명령 및 제어(C2) 서버와의 통신, 브라우저 데이터 조작이 가능합니다.

식별된 주요 기능:

--install: 업데이트 및 백업 인수를 사용하여 검사 및 ping 작업을 트리거하는 예약된 작업(PDFEditorScheduledTask, PDFEditorUScheduledTask)을 만듭니다.

--cleanup: 설치 제거 프로그램에서 백도어 구성 요소를 지우고, 호스트 등록을 취소하고, 예약된 작업을 제거하기 위해 실행됩니다.

--ping: 추가 맬웨어 다운로드, 레지스트리 변경, 데이터 유출에 대한 지침을 수신하기 위한 C2 통신을 설정합니다.

--check: 구성 업데이트를 위해 C2에 연락하고, 자격 증명을 훔치고, 브라우저 키를 읽고, Chromium, OneLaunch, Wave 브라우저를 수정합니다.

--reboot: --check와 유사하지만 특정 프로세스를 종료할 수도 있습니다.

광고 캠페인의 전략적 남용

공격자들이 선택한 시점은 주목할 만합니다. 캠페인 시작 후 악성 활동까지 56일이 소요된 것은 일반적인 구글 광고 캠페인의 60일 주기와 거의 일치합니다. 이는 공격자들이 의도적으로 광고가 완전히 실행되도록 허용하여 TamperedChef의 모든 기능을 발휘하기 전에 노출과 다운로드 수를 극대화했음을 시사합니다.