TamperedChef Stealer
Kibernetinio saugumo tyrėjai atskleidė kenkėjišką kampaniją, kuri naudoja klaidinančius internetinius skelbimus, kad platintų naują informacijos vagį, vadinamą „TamperedChef“. Operacija pagrįsta kenkėjiška reklama, kuria siekiama nukreipti vartotojus į apgaulingas svetaines, kuriose jie įtikinami atsisiųsti trojanu užkrėstą PDF redaktorių.
Turinys
Trojos arkliu užkrėstas PDF redaktorius kaip vilioklis
Netikra programinė įranga, reklamuojama kaip „AppSuite PDF Editor“, apgaule priverčia vartotojus įdiegti, regis, teisėtą įrankį. Diegimo metu aukoms pateikiamos paslaugų teikimo sąlygos, sukuriančios teisėtumo iliuziją. Tačiau užkulisiuose diegimo programa slapta prisijungia prie nuotolinio serverio, kad pašalintų redaktoriaus programą, tuo pačiu metu keisdama „Windows“ registrą, kad užtikrintų įdiegimo tęstinumą.
Diegimo programa užtikrina, kad programa būtų paleista automatiškai po perkrovimo, į registrą įterpdama komandinės eilutės argumentus (--cm). Šie argumentai leidžia kenkėjiškai programai gauti instrukcijas, kaip vykdyti įvairias kenkėjiškas procedūras.
Atakos laiko juosta
Tyrimai rodo, kad kampanija prasidėjo 2025 m. birželio 26 d., sutapus su kelių padirbtų svetainių registracija ir mažiausiai penkių „Google“ reklamos kampanijų, reklamuojančių PDF redaktorių, paleidimu. Iš pradžių programa atrodė nekelianti grėsmės, tačiau ji buvo sukurta taip, kad pakartotinai tikrintų, ar nėra atnaujinimų iš nuotolinio serverio.
2025 m. rugpjūčio 21 d., beveik po dviejų mėnesių, užkrėsti kompiuteriai pradėjo gauti instrukcijas, kurios aktyvavo kenkėjišką „TamperedChef“ paketą. Toks etapinis metodas leido užpuolikams padidinti aukų skaičių prieš aktyvuojant kenkėjišką programą.
„TamperedChef“ kenkėjiškos galimybės
Aktyvuota „TamperedChef“ atlieka žvalgybą, identifikuodama įdiegtas saugos priemones ir priverstinai uždarydama žiniatinklio naršykles. Tai suteikia prieigą prie neskelbtinų duomenų, tokių kaip saugomi prisijungimo duomenys ir slapukai.
Tolesnė analizė atskleidė, kad kenkėjiškų programų užkrėstas redaktorius taip pat veikia kaip užpakalinės durys su keliomis komandinės eilutės parinktimis. Jos leidžia išsaugoti duomenis, juos išvalyti, bendrauti su komandinės ir valdymo (C2) serveriais ir manipuliuoti naršyklės duomenimis.
Pagrindinės nustatytos funkcijos:
--install: Sukuria suplanuotas užduotis (PDFEditorScheduledTask, PDFEditorUScheduledTask), kurios paleidžiamos su atnaujinimo ir atsarginės kopijos kūrimo argumentais, kad suaktyvintų patikros ir ping operacijas.
--cleanup: Vykdo pašalinimo programa, kad ištrintų užpakalinių durų komponentus, išregistruotų pagrindinį kompiuterį ir pašalintų suplanuotas užduotis.
--ping: Užmezga C2 ryšį, kad gautų instrukcijas, kaip atsisiųsti daugiau kenkėjiškų programų, keisti registrą ir išgauti duomenis.
--check: Susisiekia su C2 dėl konfigūracijos atnaujinimų, vagia kredencialus, nuskaito naršyklės raktus ir modifikuoja „Chromium“, „OneLaunch“ ir „Wave“ naršykles.
--reboot: Panašus į --check, bet taip pat galintis nutraukti konkrečius procesus.
Strateginis reklamos kampanijų piktnaudžiavimas
Užpuolikų pasirinktas laikas yra pastebimas. 56 dienų vėlavimas tarp kampanijos paleidimo ir kenkėjiško aktyvavimo labai atitinka įprastą 60 dienų „Google“ reklamos kampanijų trukmę. Tai rodo, kad kenkėjiškų programų kūrėjai sąmoningai leido skelbimams veikti visą laiką, maksimaliai padidindami matomumą ir atsisiuntimų skaičių, prieš atskleisdami visas „TamperedChef“ galimybes.
