TamperedChef ļaunprogrammatūra

Draudu izpildītāji izmanto viltotus instalētājus, kas maskējas par plaši izmantotām lietojumprogrammām, globālā ļaunprātīgas reklāmas kampaņā, kas pazīstama kā TampererdChef. Lietotāji, kuri lejupielādē šīs viltotās programmas, netīšām instalē ļaunprogrammatūru, kas paredzēta, lai izveidotu pastāvīgu aizsardzību viņu sistēmās un izvietotu JavaScript aizmugurējās durvis attālinātai piekļuvei un kontrolei. Ziņošanas laikā kampaņa joprojām bija aktīva, tika atklāti jauni ļaunprātīgi artefakti un saistītā infrastruktūra joprojām darbojās.

Sociālā inženierija un uzticības izmantošana

TampererdChef operatori izmanto sociālās inženierijas metodes, lai maksimāli palielinātu lietotāju uzticību un izvairītos no atklāšanas. Viņu metodes ietver:

• Izmantojot pazīstamus lietojumprogrammu nosaukumus, lai veicinātu lejupielāžu veidošanos
• Ļaunprātīgas reklāmas kampaņu izvietošana, lai sasniegtu lietotājus, izmantojot tiešsaistes reklāmas
• Izmantojot meklētājprogrammu optimizācijas (SEO) taktiku, lai parādītos meklēšanas rezultātos
• Ļaunprogrammatūras parakstīšana ar ļaunprātīgi izmantotiem digitālajiem sertifikātiem, kas rada leģitimitātes iespaidu

Sertifikāti bieži tiek izsniegti fiktīviem uzņēmumiem, kas reģistrēti ASV, Panamā un Malaizijā. Tā kā vecāki sertifikāti tiek atsaukti, uzbrucēji nepārtraukti iegūst jaunus sertifikātus ar dažādiem uzņēmumu nosaukumiem, saglabājot leģitimitātes iespaidu. Informācijas drošības eksperti šo infrastruktūru ir raksturojuši kā ļoti organizētu, kas nodrošina stabilu uzticama izskata instalētāju ražošanu.

Ļaunprogrammatūras saime un kampaņas konteksts

TampererdChef ir daļa no plašākas kampaņas ar kodēto nosaukumu EvilAI, kas ļaunprogrammatūras izplatīšanai izmanto ēsmas, kas saistītas ar mākslīgā intelekta (MI) rīkiem un programmatūru. Lai gan pats TampererdChef ir kļuvis par plaši pieņemtu nosaukumu ļaunprogrammatūras saimei, dažos ziņojumos tas tiek izsekots arī kā BaoLoader. Nosaukums TampererdChef palīdz saglabāt konsekvenci kiberdrošības publikācijās un pārdevēju atklāšanā, pat ja tas atšķiras no sākotnējās TampererdChef ļaunprogrammatūras, kas iegulta ļaunprātīgā recepšu lietojumprogrammā.

Kā notiek uzbrukums

Tipisks uzbrukuma scenārijs ietver:

• Lietotājiem, kas meklētājprogrammās meklē PDF redaktorus vai produktu rokasgrāmatas, tiek rādīti saindēti URL vai ļaunprātīgas reklāmas.
• Noklikšķinot uz šīm saitēm, lietotāji tiek novirzīti uz slazdos iebāztām domēnām, kas bieži vien ir reģistrētas, izmantojot NameCheap, un tiek mudināti lejupielādēt viltotu instalētāju.
• Instalētājs lūdz lietotājus piekrist standarta licencēšanas noteikumiem un pēc tam jaunā pārlūkprogrammas cilnē atver pateicības lapu, lai saglabātu viltību.

• Fonā tiek nomests XML fails, izveidojot ieplānotu uzdevumu, kas palaiž apmulsinātu JavaScript aizmugurējo durvju logu.

• Aizmugurējās durvis sazinās ar ārējiem serveriem, pārsūtot sistēmas metadatus, piemēram, sesijas ID un ierīces ID, kas kodēti šifrētā Base64 JSON formātā, izmantojot HTTPS.

Kampaņas galīgie mērķi joprojām nav skaidri. Daži ļaunprogrammatūras varianti veicina reklāmas krāpniecību, savukārt citus varētu monetizēt, pārdodot piekļuvi kibernoziedzniekiem vai vācot sensitīvus datus nelegāliem forumiem.

Ģeogrāfiskā un nozaru ietekme

Telemetrijas dati liecina, ka visvairāk skarti ir ASV lietotāji, un par papildu inficēšanās gadījumiem ziņots Izraēlā, Spānijā, Vācijā, Indijā un Īrijā. Visvairāk skartās nozares ir veselības aprūpe, būvniecība un ražošana, iespējams, tāpēc, ka tās bieži izmanto specializētu aprīkojumu un meklē produktu rokasgrāmatas tiešsaistē, ko uzbrucēji izmanto savā labā.