Perisian Hasad TamperedChef

Aktor ancaman mengeksploitasi pemasang palsu yang menyamar sebagai aplikasi yang digunakan secara meluas dalam kempen malvertising global yang dikenali sebagai TamperedChef. Pengguna yang memuat turun program palsu ini secara tidak sengaja memasang perisian hasad yang direka untuk mewujudkan kegigihan pada sistem mereka dan menggunakan pintu belakang JavaScript untuk akses dan kawalan jauh. Pada masa pelaporan, kempen itu kekal aktif, dengan artifak berniat jahat baharu dikesan dan infrastruktur berkaitan masih beroperasi.

Kejuruteraan Sosial dan Eksploitasi Amanah

Pengendali di belakang TamperedChef memanfaatkan teknik kejuruteraan sosial untuk memaksimumkan kepercayaan pengguna dan mengelakkan pengesanan. Kaedah mereka termasuk:

• Menggunakan nama aplikasi biasa untuk menarik muat turun
• Menggunakan kempen malvertising untuk menjangkau pengguna melalui iklan dalam talian
• Menggunakan taktik Pengoptimuman Enjin Carian (SEO) untuk muncul dalam hasil carian
• Menandatangani perisian hasad dengan sijil digital yang disalahgunakan, yang memberikan kesan kesahihan

Sijil sering dikeluarkan kepada syarikat shell yang berdaftar di AS, Panama dan Malaysia. Apabila sijil lama dibatalkan, penyerang terus memperoleh yang baharu di bawah nama syarikat yang berbeza, mengekalkan rupa kesahihan. Pakar Infosec telah menyifatkan infrastruktur ini sangat teratur, membolehkan pengeluaran pemasang yang kelihatan dipercayai secara stabil.

Keluarga Peribadi dan Konteks Kempen

TamperedChef ialah sebahagian daripada kempen yang lebih besar dengan nama kod EvilAI, yang menggunakan gewang yang terikat pada alatan dan perisian kecerdasan buatan (AI) untuk pengedaran perisian hasad. Walaupun TamperedChef sendiri telah menjadi nama yang digunakan secara meluas untuk keluarga perisian hasad, ia juga dijejaki sebagai BaoLoader dalam beberapa laporan. Nama TamperedChef membantu mengekalkan konsistensi merentas penerbitan keselamatan siber dan pengesanan vendor, walaupun ia berbeza daripada perisian hasad TamperedChef asal yang dibenamkan dalam aplikasi resipi berniat jahat.

Bagaimana Serangan Terjadi

Senario serangan biasa termasuk:

• Pengguna yang mencari editor PDF atau manual produk pada enjin carian dihidangkan URL beracun atau iklan berniat jahat.
• Mengklik pautan ini mengubah hala pengguna ke domain yang terperangkap, selalunya didaftarkan melalui NameCheap, mendorong mereka memuat turun pemasang palsu.
• Pemasang meminta pengguna untuk bersetuju dengan syarat pelesenan standard, kemudian membuka halaman terima kasih dalam tab penyemak imbas baharu untuk mengekalkan muslihat.

• Di latar belakang, fail XML digugurkan, mencipta tugas berjadual yang melancarkan pintu belakang JavaScript yang dikelirukan.

• Pintu belakang berkomunikasi dengan pelayan luaran, menghantar metadata sistem, seperti ID sesi dan ID mesin, yang dikodkan dalam Base64 JSON yang disulitkan melalui HTTPS.

Matlamat akhir kempen masih tidak jelas. Sesetengah varian perisian hasad memudahkan penipuan pengiklanan, manakala yang lain boleh diwangkan melalui akses yang dijual kepada penjenayah siber atau dengan menuai data sensitif untuk forum bawah tanah.

Kesan Geografi dan Sektor

Telemetri menunjukkan bahawa pengguna AS adalah yang paling terjejas, dengan jangkitan tambahan dilaporkan di Israel, Sepanyol, Jerman, India dan Ireland. Sektor yang paling terjejas termasuk penjagaan kesihatan, pembinaan dan pembuatan, mungkin disebabkan oleh pergantungan mereka yang kerap pada peralatan khusus dan carian dalam talian untuk manual produk, yang dieksploitasi oleh penyerang.