TamperedChef-skadevare

Trusselaktører utnytter falske installatører som utgir seg for å være mye brukte applikasjoner i en global skadelig reklamekampanje kjent som TamperedChef. Brukere som laster ned disse forfalskede programmene, installerer utilsiktet skadelig programvare som er utformet for å etablere persistens på systemene deres og distribuere en JavaScript-bakdør for ekstern tilgang og kontroll. På rapporteringstidspunktet var kampanjen fortsatt aktiv, med nye skadelige artefakter oppdaget og tilhørende infrastruktur fortsatt operativ.

Sosial manipulering og tillitsutnyttelse

Operatørene bak TamperedChef bruker sosial manipulering for å maksimere brukertillit og unngå oppdagelse. Metodene deres inkluderer:

• Bruke kjente programnavn for å lokke nedlastinger
• Implementering av skadelig reklame for å nå brukere via nettannonser
• Bruk av søkemotoroptimaliseringsteknikker (SEO) for å vises i søkeresultatene
• Signering av skadelig programvare med misbrukte digitale sertifikater, noe som gir et preg av legitimitet

Sertifikater utstedes ofte til skallselskaper registrert i USA, Panama og Malaysia. Etter hvert som eldre sertifikater tilbakekalles, tilegner angriperne seg kontinuerlig nye under forskjellige firmanavn, og opprettholder dermed inntrykket av legitimitet. Infosec-eksperter har beskrevet denne infrastrukturen som svært organisert, noe som muliggjør en jevn produksjon av pålitelige installatører.

Skadevarefamilie og kampanjekontekst

TamperedChef er en del av en større kampanje med kodenavnet EvilAI, som bruker lokkemidler knyttet til verktøy og programvare for kunstig intelligens (KI) for distribusjon av skadelig programvare. Selv om TamperedChef i seg selv har blitt det allment brukte navnet på skadevarefamilien, spores det også som BaoLoader i noen rapporter. Navnet TamperedChef bidrar til å opprettholde konsistens på tvers av cybersikkerhetspublikasjoner og leverandørdeteksjon, selv om det skiller seg fra den originale TamperedChef-skadevaren som er innebygd i et ondsinnet oppskriftsprogram.

Hvordan angrepet utfolder seg

Et typisk angrepsscenario inkluderer:

• Brukere som søker etter PDF-redigeringsprogrammer eller produktmanualer på søkemotorer, får se forgiftede URL-er eller ondsinnede annonser.
• Når brukere klikker på disse lenkene, omdirigeres de til falske domener, ofte registrert via NameCheap, noe som ber dem om å laste ned et falskt installasjonsprogram.
• Installasjonsprogrammet ber brukerne om å godta standard lisensvilkår, og åpner deretter en takk-side i en ny nettleserfane for å opprettholde lurendreien.

• I bakgrunnen slippes en XML-fil, noe som oppretter en planlagt oppgave som starter en obfuskert JavaScript-bakdør.

• Bakdøren kommuniserer med eksterne servere og overfører systemmetadata, som økt-ID og maskin-ID, kodet i kryptert Base64 JSON over HTTPS.

Kampanjens endelige mål er fortsatt uklare. Noen varianter av skadelig programvare legger til rette for reklamesvindel, mens andre kan tjenes penger gjennom tilgang solgt til nettkriminelle eller ved å samle sensitive data for undergrunnsfora.

Geografisk og sektormessig påvirkning

Telemetri indikerer at amerikanske brukere er mest berørt, med ytterligere infeksjoner rapportert i Israel, Spania, Tyskland, India og Irland. Sektorene som er mest berørt inkluderer helsevesen, bygg og anlegg og produksjon, sannsynligvis på grunn av deres hyppige avhengighet av spesialisert utstyr og nettsøk etter produktmanualer, som angriperne utnytter.