Pencuri Chef Tampered
Penyelidik keselamatan siber telah menemui kempen berniat jahat yang memanfaatkan iklan dalam talian yang mengelirukan untuk mengedarkan pencuri maklumat baharu yang dikenali sebagai TamperedChef. Operasi ini bergantung pada malvertising untuk menyalurkan pengguna ke tapak penipuan di mana mereka dipujuk untuk memuat turun editor PDF yang ditrojan.
Isi kandungan
Editor PDF Trojan sebagai Gewang
Perisian palsu, yang dipromosikan sebagai AppSuite PDF Editor, menipu pengguna untuk memasang apa yang kelihatan sebagai alat yang sah. Semasa pemasangan, mangsa dibentangkan dengan syarat perjanjian perkhidmatan, memberikan ilusi kesahihan. Di sebalik tabir, bagaimanapun, pemasang secara rahsia menyambung ke pelayan jauh untuk menggugurkan aplikasi editor sambil mengubah Windows Registry secara serentak untuk mewujudkan kegigihan.
Pemasang memastikan program dilancarkan secara automatik selepas but semula dengan membenamkan argumen baris perintah (--cm) ke dalam Registry. Argumen ini membolehkan perisian hasad menerima arahan untuk melaksanakan rutin berniat jahat yang berbeza.
Garis masa Serangan
Siasatan mencadangkan kempen itu bermula pada 26 Jun 2025, serentak dengan pendaftaran beberapa tapak palsu dan pelancaran sekurang-kurangnya lima kempen iklan Google yang mempromosikan editor PDF. Pada mulanya, program itu kelihatan tidak mengancam, tetapi ia direka bentuk untuk menyemak kemas kini berulang kali dari pelayan jauh.
Pada 21 Ogos 2025, hampir dua bulan kemudian, mesin yang dijangkiti mula menerima arahan yang mengaktifkan muatan jahat TamperedChef. Pendekatan berperingkat ini membolehkan penyerang memaksimumkan bilangan mangsa sebelum mendayakan perisian hasad.
Keupayaan Hasad TamperedChef
Setelah diaktifkan, TamperedChef melakukan peninjauan dengan mengenal pasti alat keselamatan yang dipasang dan menutup pelayar web secara paksa. Ini memberikannya akses kepada data sensitif seperti bukti kelayakan dan kuki yang disimpan.
Analisis lanjut mendedahkan bahawa editor yang dilapisi perisian hasad juga berfungsi sebagai pintu belakang dengan berbilang pilihan baris arahan. Ini membolehkan kegigihan, pembersihan, komunikasi dengan pelayan arahan dan kawalan (C2), dan manipulasi data penyemak imbas.
Fungsi Utama Dikenalpasti:
--install: Mencipta tugas berjadual (PDFEditorScheduledTask, PDFEditorUScheduledTask) yang dijalankan dengan kemas kini dan hujah sandaran untuk mencetuskan operasi semakan dan ping.
--cleanup: Dilaksanakan oleh penyahpasang untuk memadam komponen pintu belakang, menyahdaftarkan hos dan mengalih keluar tugas yang dijadualkan.
--ping: Mewujudkan komunikasi C2 untuk menerima arahan untuk memuat turun lebih banyak perisian hasad, mengubah Pejabat Pendaftaran dan mengeksfiltrasi data.
--check: Menghubungi C2 untuk kemas kini konfigurasi, mencuri bukti kelayakan, membaca kunci penyemak imbas dan mengubah suai penyemak imbas Chromium, OneLaunch dan Wave.
--reboot: Sama seperti --check tetapi juga mampu menamatkan proses tertentu.
Penyalahgunaan Strategik Kempen Iklan
Pilihan masa penyerang adalah ketara. Kelewatan 56 hari antara pelancaran kempen dan pengaktifan berniat jahat hampir sama dengan jangka hayat 60 hari biasa kempen iklan Google. Ini menunjukkan bahawa pelakon ancaman sengaja membenarkan iklan berjalan sepenuhnya, memaksimumkan pendedahan dan muat turun sebelum melepaskan keupayaan penuh TamperedChef.
