TamperedChef-malware
Cybercriminelen maken misbruik van valse installatieprogramma's die zich voordoen als veelgebruikte applicaties in een wereldwijde malvertisingcampagne genaamd TamperedChef. Gebruikers die deze namaakprogramma's downloaden, installeren onbedoeld malware die is ontworpen om persistentie op hun systemen te creëren en een JavaScript-backdoor te implementeren voor externe toegang en controle. Ten tijde van de melding was de campagne nog steeds actief, met nieuwe schadelijke artefacten die werden gedetecteerd en de bijbehorende infrastructuur die nog steeds operationeel was.
Inhoudsopgave
Sociale engineering en misbruik van vertrouwen
De beheerders van TamperedChef maken gebruik van social engineering-technieken om het vertrouwen van gebruikers te maximaliseren en detectie te voorkomen. Hun methoden omvatten:
- Gebruik bekende applicatienamen om downloads te stimuleren
- Malvertisingcampagnes inzetten om gebruikers te bereiken via online advertenties
- Gebruik zoekmachineoptimalisatie (SEO) om in de zoekresultaten te verschijnen
- Het ondertekenen van malware met misbruikte digitale certificaten, die een schijn van legitimiteit geven
Certificaten worden vaak uitgegeven aan lege vennootschappen die geregistreerd staan in de VS, Panama en Maleisië. Naarmate oudere certificaten worden ingetrokken, verwerven aanvallers voortdurend nieuwe certificaten onder verschillende bedrijfsnamen, waardoor de schijn van legitimiteit behouden blijft. Infosec-experts beschrijven deze infrastructuur als zeer georganiseerd, wat de constante productie van betrouwbaar ogende installatieprogramma's mogelijk maakt.
Malware-familie en campagnecontext
TamperedChef maakt deel uit van een grotere campagne met de codenaam EvilAI, die gebruikmaakt van lokaas gekoppeld aan AI-tools en -software voor de verspreiding van malware. Hoewel TamperedChef zelf de algemeen aanvaarde naam is geworden voor de malwarefamilie, wordt het in sommige rapporten ook wel BaoLoader genoemd. De naam TamperedChef helpt de consistentie te behouden in cybersecuritypublicaties en leveranciersdetecties, ook al verschilt deze van de originele TamperedChef-malware die in een kwaadaardige receptenapplicatie is ingebed.
Hoe de aanval zich ontvouwt
Een typisch aanvalsscenario omvat:
- Gebruikers die via zoekmachines naar PDF-editors of producthandleidingen zoeken, krijgen vergiftigde URL's of schadelijke advertenties te zien.
- Als gebruikers op deze links klikken, worden ze doorgestuurd naar domeinen met valkuilen. Deze domeinen zijn vaak geregistreerd via NameCheap en worden vervolgens aangezet tot het downloaden van een nep-installatieprogramma.
- Het installatieprogramma vraagt gebruikers om akkoord te gaan met de standaard licentievoorwaarden en opent vervolgens een bedankpagina in een nieuw browsertabblad om de list in stand te houden.
De uiteindelijke doelen van de campagne blijven onduidelijk. Sommige malwarevarianten maken advertentiefraude mogelijk, terwijl andere te gelde gemaakt kunnen worden door toegang te verkopen aan cybercriminelen of door gevoelige gegevens te verzamelen voor ondergrondse fora.
Geografische en sectorale impact
Telemetrie geeft aan dat Amerikaanse gebruikers het zwaarst getroffen zijn, met extra infecties gemeld in Israël, Spanje, Duitsland, India en Ierland. De sectoren die het zwaarst getroffen zijn, zijn de gezondheidszorg, de bouw en de maakindustrie, waarschijnlijk vanwege hun frequente afhankelijkheid van gespecialiseerde apparatuur en online zoekopdrachten naar producthandleidingen, waar de aanvallers misbruik van maken.
