TamperedChef Stealer

साइबर सुरक्षा अनुसन्धानकर्ताहरूले एउटा दुर्भावनापूर्ण अभियानको पर्दाफास गरेका छन् जसले भ्रामक अनलाइन विज्ञापनहरूको प्रयोग गरेर TamperedChef भनेर चिनिने नयाँ जानकारी चोरलाई वितरण गर्दछ। यो अपरेशन प्रयोगकर्ताहरूलाई धोखाधडी साइटहरूमा फ्याँक्न मालवर्टाइजिङमा निर्भर गर्दछ जहाँ उनीहरूलाई ट्रोजनाइज्ड PDF सम्पादक डाउनलोड गर्न मनाइन्छ।

ट्रोजनाइज्ड पीडीएफ सम्पादकलाई आकर्षणको रूपमा

AppSuite PDF Editor को रूपमा प्रचार गरिएको नक्कली सफ्टवेयरले प्रयोगकर्ताहरूलाई वैध उपकरण जस्तो देखिने कुरा स्थापना गर्न छल गर्छ। स्थापनाको क्रममा, पीडितहरूलाई सेवा सर्तहरू सम्झौता प्रस्तुत गरिन्छ, जसले वैधताको भ्रम दिन्छ। यद्यपि, पर्दा पछाडि, स्थापनाकर्ताले गुप्त रूपमा रिमोट सर्भरमा सम्पादक अनुप्रयोग छोड्न जडान गर्दछ र एकै साथ स्थिरता स्थापित गर्न Windows रजिस्ट्री परिवर्तन गर्दछ।

स्थापनाकर्ताले रजिस्ट्रीमा कमाण्ड-लाइन आर्गुमेन्टहरू (--cm) इम्बेड गरेर रिबुट पछि कार्यक्रम स्वचालित रूपमा सुरु हुन्छ भनी सुनिश्चित गर्दछ। यी आर्गुमेन्टहरूले मालवेयरलाई विभिन्न दुर्भावनापूर्ण दिनचर्याहरू कार्यान्वयन गर्न निर्देशनहरू प्राप्त गर्न सक्षम बनाउँछन्।

आक्रमणको समयरेखा

अनुसन्धानले यो अभियान जुन २६, २०२५ मा सुरु भएको देखाउँछ, जुन धेरै नक्कली साइटहरूको दर्ता र PDF सम्पादकको प्रचार गर्ने कम्तिमा पाँच गुगल विज्ञापन अभियानहरूको सुरुवातसँगै सुरु भएको थियो। सुरुमा, कार्यक्रम धम्कीपूर्ण देखिएन, तर यो टाढाको सर्भरबाट अपडेटहरू बारम्बार जाँच गर्न डिजाइन गरिएको थियो।

अगस्ट २१, २०२५ मा, लगभग दुई महिना पछि, संक्रमित मेसिनहरूले TamperedChef को दुर्भावनापूर्ण पेलोड सक्रिय गर्ने निर्देशनहरू प्राप्त गर्न थाले। यो चरणबद्ध दृष्टिकोणले आक्रमणकारीहरूलाई मालवेयर सक्षम गर्नु अघि पीडितहरूको संख्या अधिकतम गर्न अनुमति दियो।

टेम्पर्डशेफको दुर्भावनापूर्ण क्षमताहरू

एकपटक सक्रिय भएपछि, TamperedChef ले स्थापित सुरक्षा उपकरणहरू पहिचान गरेर र वेब ब्राउजरहरूलाई जबरजस्ती बन्द गरेर जासूसी कार्य गर्दछ। यसले यसलाई भण्डारण गरिएका प्रमाणहरू र कुकीहरू जस्ता संवेदनशील डेटामा पहुँच प्रदान गर्दछ।

थप विश्लेषणले पत्ता लगायो कि मालवेयर-लेस्ड सम्पादकले धेरै कमाण्ड-लाइन विकल्पहरू सहित ब्याकडोरको रूपमा पनि काम गर्दछ। यसले दृढता, सफाई, कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूसँग सञ्चार, र ब्राउजर डेटाको हेरफेर सक्षम गर्दछ।

पहिचान गरिएका प्रमुख कार्यहरू:

--install: चेक र पिङ अपरेशनहरू ट्रिगर गर्न अपडेट र ब्याकअप आर्गुमेन्टहरूसँग चल्ने निर्धारित कार्यहरू (PDFEditorScheduledTask, PDFEditorUScheduledTask) सिर्जना गर्दछ।

--cleanup: ब्याकडोर कम्पोनेन्टहरू मेटाउन, होस्ट दर्ता रद्द गर्न र निर्धारित कार्यहरू हटाउन अनइन्स्टलरद्वारा कार्यान्वयन गरिन्छ।

--ping: थप मालवेयर डाउनलोड गर्ने, रजिस्ट्री परिवर्तन गर्ने र डेटा एक्सफिल्टर गर्ने निर्देशनहरू प्राप्त गर्न C2 सञ्चार स्थापना गर्दछ।

--check: कन्फिगरेसन अपडेटहरूको लागि C2 लाई सम्पर्क गर्छ, प्रमाणहरू चोर्छ, ब्राउजर कुञ्जीहरू पढ्छ, र Chromium, OneLaunch, र Wave ब्राउजरहरू परिमार्जन गर्छ।

--रिबुट: --चेक जस्तै तर विशिष्ट प्रक्रियाहरू समाप्त गर्न पनि सक्षम।

विज्ञापन अभियानहरूको रणनीतिक दुरुपयोग

आक्रमणकारीहरूको समय छनौट उल्लेखनीय छ। अभियान सुरुवात र दुर्भावनापूर्ण सक्रियता बीचको ५६-दिनको ढिलाइ गुगल विज्ञापन अभियानहरूको सामान्य ६०-दिनको आयुसँग नजिकबाट मेल खान्छ। यसले संकेत गर्दछ कि खतरा अभिनेताहरूले जानाजानी विज्ञापनहरूलाई उनीहरूको पूर्ण पाठ्यक्रम चलाउन अनुमति दिए, TamperedChef को पूर्ण क्षमताहरू खोल्नु अघि एक्सपोजर र डाउनलोडहरूलाई अधिकतम बनाए।