TamperedChef Stealer
Kiberdrošības pētnieki ir atklājuši ļaunprātīgu kampaņu, kas izmanto maldinošas tiešsaistes reklāmas, lai izplatītu jaunu informācijas zagli, kas pazīstams kā TampereredChef. Operācija balstās uz ļaunprātīgu reklāmu, lai novirzītu lietotājus uz krāpnieciskām vietnēm, kur viņi tiek pierunāti lejupielādēt ar trojānu inficētu PDF redaktoru.
Satura rādītājs
Trojiešu vīrusu izmantots PDF redaktors kā ēsma
Viltus programmatūra, kas tiek reklamēta kā AppSuite PDF Editor, apmāna lietotājus, lai tie instalētu šķietami likumīgu rīku. Instalēšanas laikā upuriem tiek parādīti pakalpojumu sniegšanas noteikumi, radot ilūziju par leģitimitāti. Tomēr aizkulisēs instalētājs slepeni izveido savienojumu ar attālu serveri, lai aizvērtu redaktora lietojumprogrammu, vienlaikus mainot Windows reģistru, lai nodrošinātu pastāvīgu instalēšanu.
Instalēšanas programma nodrošina programmas automātisku palaišanu pēc pārstartēšanas, reģistrā iekļaujot komandrindas argumentus (--cm). Šie argumenti ļauj ļaunprogrammatūrai saņemt instrukcijas dažādu ļaunprātīgu rutīnu izpildei.
Uzbrukuma laika skala
Izmeklēšana liecina, ka kampaņa sākās 2025. gada 26. jūnijā, kas sakrita ar vairāku viltotu vietņu reģistrēšanu un vismaz piecu Google reklāmas kampaņu sākšanu, kas reklamēja PDF redaktoru. Sākotnēji programma nešķita bīstama, taču tā bija izstrādāta, lai atkārtoti pārbaudītu atjauninājumus no attāla servera.
Gandrīz divus mēnešus vēlāk, 2025. gada 21. augustā, inficētās mašīnas sāka saņemt instrukcijas, kas aktivizēja TamperedChef ļaunprātīgo lietderīgo slodzi. Šī pakāpeniskā pieeja ļāva uzbrucējiem maksimāli palielināt upuru skaitu pirms ļaunprogrammatūras aktivizēšanas.
TamperedChef ļaunprātīgās spējas
Pēc aktivizēšanas TampererdChef veic izlūkošanu, identificējot instalētos drošības rīkus un piespiedu kārtā aizverot tīmekļa pārlūkprogrammas. Tas piešķir tai piekļuvi sensitīviem datiem, piemēram, saglabātajiem akreditācijas datiem un sīkfailiem.
Turpmāka analīze atklāja, ka ar ļaunprogrammatūru inficētais redaktors darbojas arī kā aizmugurējās durvis ar vairākām komandrindas opcijām. Tās nodrošina datu saglabāšanu, tīrīšanu, saziņu ar komandu un vadības (C2) serveriem un pārlūkprogrammas datu manipulēšanu.
Galvenās identificētās funkcijas:
--install: Izveido ieplānotus uzdevumus (PDFEditorScheduledTask, PDFEditorUScheduledTask), kas darbojas ar atjaunināšanas un dublēšanas argumentiem, lai aktivizētu pārbaudes un ping darbības.
--cleanup: Atinstalētāja izpildāma, lai dzēstu aizmugurējās durvis komponentus, atceltu resursdatora reģistrāciju un noņemtu ieplānotos uzdevumus.
--ping: Izveido C2 saziņu, lai saņemtu norādījumus par papildu ļaunprogrammatūras lejupielādi, reģistra mainīšanu un datu izgūšanu.
--check: Sazinās ar C2, lai atjauninātu konfigurāciju, zog akreditācijas datus, nolasa pārlūkprogrammas atslēgas un modificē Chromium, OneLaunch un Wave pārlūkprogrammas.
--reboot: Līdzīgi kā --check, bet arī spēj pārtraukt noteiktus procesus.
Reklāmas kampaņu stratēģiska ļaunprātīga izmantošana
Uzbrucēju laika izvēle ir ievērojama. 56 dienu aizkave starp kampaņas palaišanu un ļaunprātīgu aktivizēšanu precīzi atbilst Google reklāmas kampaņu tipiskajam 60 dienu ilgumam. Tas liecina, ka apdraudējumu izpildītāji apzināti ļāva reklāmām darboties pilnībā, maksimāli palielinot redzamību un lejupielāžu skaitu, pirms atbrīvoja TampererdChef visas iespējas.
