„TamperedChef“ kenkėjiška programa
Grėsmių kūrėjai išnaudoja netikrus diegimo programas, kurios apsimeta plačiai naudojamomis programomis, vykdydami pasaulinę kenkėjiškos reklamos kampaniją, vadinamą „TamperedChef“. Vartotojai, atsisiuntę šias padirbtas programas, netyčia įdiegia kenkėjiškas programas, skirtas įtvirtinti jų sistemose ir dislokuoti „JavaScript“ galines duris nuotolinei prieigai ir valdymui. Ataskaitos rengimo metu kampanija tebebuvo aktyvi, buvo aptikta naujų kenkėjiškų artefaktų ir susijusi infrastruktūra vis dar veikė.
Turinys
Socialinė inžinerija ir pasitikėjimo išnaudojimas
„TamperedChef“ operatoriai naudoja socialinės inžinerijos metodus, kad padidintų vartotojų pasitikėjimą ir išvengtų aptikimo. Jų metodai apima:
- Naudojant pažįstamus programų pavadinimus, siekiant paskatinti atsisiuntimus
- Kenkėjiškos reklamos kampanijų diegimas siekiant pasiekti vartotojus per internetinius skelbimus
- Paieškos sistemų optimizavimo (SEO) taktikos naudojimas siekiant pasirodyti paieškos rezultatuose
- Kenkėjiškų programų pasirašymas naudojant piktnaudžiaujamus skaitmeninius sertifikatus, kurie suteikia teisėtumo įspūdį
Sertifikatai dažnai išduodami fiktyvioms įmonėms, registruotoms JAV, Panamoje ir Malaizijoje. Atšaukus senesnius sertifikatus, užpuolikai nuolat įsigyja naujų, naudojančių skirtingus įmonių pavadinimus, taip išlaikydami teisėtumo įspūdį. Informacijos saugumo ekspertai šią infrastruktūrą apibūdino kaip labai organizuotą, leidžiančią nuolat gaminti patikimų atrodančių montuotojų programas.
Kenkėjiškų programų šeima ir kampanijos kontekstas
„TamperedChef“ yra didesnės kampanijos, kodiniu pavadinimu „EvilAI“, dalis. Ši kampanija naudoja su dirbtinio intelekto (DI) įrankiais ir programine įranga susietus masalus kenkėjiškoms programoms platinti. Nors pats „TamperedChef“ tapo plačiai paplitusiu kenkėjiškų programų šeimos pavadinimu, kai kuriose ataskaitose jis taip pat nurodomas kaip „BaoLoader“. Pavadinimas „TamperedChef“ padeda išlaikyti nuoseklumą kibernetinio saugumo leidiniuose ir tiekėjų aptikimuose, net jei jis skiriasi nuo originalios „TamperedChef“ kenkėjiškos programos, įterptos į kenkėjišką receptų programą.
Kaip vyksta ataka
Tipiškas išpuolio scenarijus apima:
- Paieškos sistemose PDF redaktorių ar produktų vadovų ieškantiems vartotojams rodomi užkrėsti URL adresai arba kenkėjiški skelbimai.
- Paspaudus šias nuorodas, vartotojai nukreipiami į spąstais užminuotus domenus, dažnai registruotus per „NameCheap“, todėl jie raginami atsisiųsti netikrą diegimo programą.
- Diegimo programa prašo vartotojų sutikti su standartinėmis licencijavimo sąlygomis, tada naujame naršyklės skirtuke atidaro padėkos puslapį, kad išlaikytų gudrybę.
Galutiniai kampanijos tikslai lieka neaiškūs. Kai kurie kenkėjiškų programų variantai palengvina reklamos sukčiavimą, o iš kitų galima gauti pajamų parduodant prieigą kibernetiniams nusikaltėliams arba renkant jautrius duomenis pogrindiniams forumams.
Geografinis ir sektorių poveikis
Telemetrijos duomenys rodo, kad labiausiai nukentėjo JAV vartotojai, o papildomų užkrėtimų užregistruota Izraelyje, Ispanijoje, Vokietijoje, Indijoje ir Airijoje. Labiausiai nukentėję sektoriai yra sveikatos apsauga, statyba ir gamyba, tikėtina, dėl to, kad juose dažnai naudojama specializuota įranga ir ieškoma produktų vadovų internete, o tuo užpuolikai ir naudojasi.
