TamperedChef Stealer

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਲੋਕ ਟੈਂਪਰਡਚੇਫ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਗਲੋਬਲ ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਮੁਹਿੰਮ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਭੇਸ ਵਿੱਚ ਜਾਅਲੀ ਸਥਾਪਕਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ। ਜਿਹੜੇ ਉਪਭੋਗਤਾ ਇਹਨਾਂ ਨਕਲੀ ਪ੍ਰੋਗਰਾਮਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦੇ ਹਨ ਉਹ ਅਣਜਾਣੇ ਵਿੱਚ ਆਪਣੇ ਸਿਸਟਮਾਂ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਮਾਲਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਹਨ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਅਤੇ ਕੰਟਰੋਲ ਲਈ ਇੱਕ JavaScript ਬੈਕਡੋਰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਰਿਪੋਰਟਿੰਗ ਦੇ ਸਮੇਂ, ਮੁਹਿੰਮ ਸਰਗਰਮ ਰਹੀ, ਨਵੀਆਂ ਖਤਰਨਾਕ ਕਲਾਕ੍ਰਿਤੀਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਅਤੇ ਸੰਬੰਧਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਅਜੇ ਵੀ ਕਾਰਜਸ਼ੀਲ ਹੈ।

ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਟਰੱਸਟ ਸ਼ੋਸ਼ਣ

ਟੈਂਪਰਡਸ਼ੈੱਫ ਦੇ ਪਿੱਛੇ ਸੰਚਾਲਕ ਉਪਭੋਗਤਾ ਦੇ ਵਿਸ਼ਵਾਸ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੇ ਤਰੀਕਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਡਾਊਨਲੋਡਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਜਾਣੇ-ਪਛਾਣੇ ਐਪਲੀਕੇਸ਼ਨ ਨਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ
• ਔਨਲਾਈਨ ਇਸ਼ਤਿਹਾਰਾਂ ਰਾਹੀਂ ਉਪਭੋਗਤਾਵਾਂ ਤੱਕ ਪਹੁੰਚਣ ਲਈ ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ
• ਖੋਜ ਨਤੀਜਿਆਂ ਵਿੱਚ ਦਿਖਾਈ ਦੇਣ ਲਈ ਖੋਜ ਇੰਜਨ ਔਪਟੀਮਾਈਜੇਸ਼ਨ (SEO) ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ
• ਦੁਰਵਰਤੋਂ ਕੀਤੇ ਗਏ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟਾਂ ਨਾਲ ਮਾਲਵੇਅਰ 'ਤੇ ਦਸਤਖਤ ਕਰਨਾ, ਜੋ ਕਿ ਜਾਇਜ਼ਤਾ ਦਾ ਅਹਿਸਾਸ ਕਰਵਾਉਂਦੇ ਹਨ

ਸਰਟੀਫਿਕੇਟ ਅਕਸਰ ਅਮਰੀਕਾ, ਪਨਾਮਾ ਅਤੇ ਮਲੇਸ਼ੀਆ ਵਿੱਚ ਰਜਿਸਟਰਡ ਸ਼ੈੱਲ ਕੰਪਨੀਆਂ ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਜਿਵੇਂ-ਜਿਵੇਂ ਪੁਰਾਣੇ ਸਰਟੀਫਿਕੇਟ ਰੱਦ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਹਮਲਾਵਰ ਲਗਾਤਾਰ ਵੱਖ-ਵੱਖ ਕੰਪਨੀਆਂ ਦੇ ਨਾਵਾਂ ਹੇਠ ਨਵੇਂ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਜਾਇਜ਼ਤਾ ਦੀ ਦਿੱਖ ਬਰਕਰਾਰ ਰਹਿੰਦੀ ਹੈ। ਇਨਫੋਸੇਕ ਮਾਹਿਰਾਂ ਨੇ ਇਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਬਹੁਤ ਹੀ ਸੰਗਠਿਤ ਦੱਸਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਭਰੋਸੇਯੋਗ-ਦਿੱਖ ਵਾਲੇ ਇੰਸਟਾਲਰਾਂ ਦਾ ਸਥਿਰ ਉਤਪਾਦਨ ਸੰਭਵ ਹੋ ਜਾਂਦਾ ਹੈ।

ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਅਤੇ ਮੁਹਿੰਮ ਸੰਦਰਭ

ਟੈਂਪਰਡਚੇਫ ਇੱਕ ਵੱਡੀ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹੈ ਜਿਸਦਾ ਕੋਡਨੇਮ EvilAI ਹੈ, ਜੋ ਮਾਲਵੇਅਰ ਵੰਡ ਲਈ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ (AI) ਟੂਲਸ ਅਤੇ ਸੌਫਟਵੇਅਰ ਨਾਲ ਜੁੜੇ ਲੂਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਜਦੋਂ ਕਿ ਟੈਂਪਰਡਚੇਫ ਖੁਦ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਲਈ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਅਪਣਾਇਆ ਗਿਆ ਨਾਮ ਬਣ ਗਿਆ ਹੈ, ਕੁਝ ਰਿਪੋਰਟਾਂ ਵਿੱਚ ਇਸਨੂੰ BaoLoader ਵਜੋਂ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਟੈਂਪਰਡਚੇਫ ਨਾਮ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਪ੍ਰਕਾਸ਼ਨਾਂ ਅਤੇ ਵਿਕਰੇਤਾ ਖੋਜਾਂ ਵਿੱਚ ਇਕਸਾਰਤਾ ਬਣਾਈ ਰੱਖਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ, ਭਾਵੇਂ ਇਹ ਇੱਕ ਖਤਰਨਾਕ ਵਿਅੰਜਨ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਸ਼ਾਮਲ ਅਸਲ ਟੈਂਪਰਡਚੇਫ ਮਾਲਵੇਅਰ ਤੋਂ ਵੱਖਰਾ ਹੈ।

ਹਮਲਾ ਕਿਵੇਂ ਫੈਲਦਾ ਹੈ

ਇੱਕ ਆਮ ਹਮਲੇ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਰਚ ਇੰਜਣਾਂ 'ਤੇ PDF ਐਡੀਟਰ ਜਾਂ ਉਤਪਾਦ ਮੈਨੂਅਲ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਜ਼ਹਿਰੀਲੇ URL ਜਾਂ ਖਤਰਨਾਕ ਇਸ਼ਤਿਹਾਰ ਦਿਖਾਏ ਜਾਂਦੇ ਹਨ।
• ਇਹਨਾਂ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਨਾਲ ਉਪਭੋਗਤਾ ਬੂਬੀ-ਟ੍ਰੈਪਡ ਡੋਮੇਨਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਹੋ ਜਾਂਦੇ ਹਨ, ਜੋ ਅਕਸਰ NameCheap ਰਾਹੀਂ ਰਜਿਸਟਰ ਹੁੰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਨਕਲੀ ਇੰਸਟਾਲਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
• ਇੰਸਟਾਲਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਿਆਰੀ ਲਾਇਸੈਂਸਿੰਗ ਸ਼ਰਤਾਂ ਨਾਲ ਸਹਿਮਤ ਹੋਣ ਲਈ ਕਹਿੰਦਾ ਹੈ, ਫਿਰ ਚਾਲ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਇੱਕ ਨਵੇਂ ਬ੍ਰਾਊਜ਼ਰ ਟੈਬ ਵਿੱਚ ਇੱਕ ਧੰਨਵਾਦ ਪੰਨਾ ਖੋਲ੍ਹਦਾ ਹੈ।

• ਬੈਕਗ੍ਰਾਊਂਡ ਵਿੱਚ, ਇੱਕ XML ਫਾਈਲ ਛੱਡ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਇੱਕ ਸ਼ਡਿਊਲਡ ਟਾਸਕ ਬਣਾਉਂਦੀ ਹੈ ਜੋ ਇੱਕ ਅਸਪਸ਼ਟ JavaScript ਬੈਕਡੋਰ ਲਾਂਚ ਕਰਦੀ ਹੈ।

• ਬੈਕਡੋਰ ਬਾਹਰੀ ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ, ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ, ਜਿਵੇਂ ਕਿ ਸੈਸ਼ਨ ਆਈਡੀ ਅਤੇ ਮਸ਼ੀਨ ਆਈਡੀ, ਨੂੰ HTTPS ਉੱਤੇ ਏਨਕ੍ਰਿਪਟਡ Base64 JSON ਵਿੱਚ ਏਨਕੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਸੰਚਾਰਿਤ ਕਰਦਾ ਹੈ।

ਮੁਹਿੰਮ ਦੇ ਅੰਤਮ ਟੀਚੇ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹਨ। ਕੁਝ ਮਾਲਵੇਅਰ ਰੂਪ ਇਸ਼ਤਿਹਾਰਬਾਜ਼ੀ ਧੋਖਾਧੜੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਹੋਰਾਂ ਨੂੰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਵੇਚੀ ਗਈ ਪਹੁੰਚ ਦੁਆਰਾ ਜਾਂ ਭੂਮੀਗਤ ਫੋਰਮਾਂ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਕੇ ਮੁਦਰੀਕਰਨ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

ਭੂਗੋਲਿਕ ਅਤੇ ਖੇਤਰੀ ਪ੍ਰਭਾਵ

ਟੈਲੀਮੈਟਰੀ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਅਮਰੀਕੀ ਉਪਭੋਗਤਾ ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ, ਇਜ਼ਰਾਈਲ, ਸਪੇਨ, ਜਰਮਨੀ, ਭਾਰਤ ਅਤੇ ਆਇਰਲੈਂਡ ਵਿੱਚ ਵਾਧੂ ਲਾਗਾਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਹੈ। ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵਿਤ ਖੇਤਰਾਂ ਵਿੱਚ ਸਿਹਤ ਸੰਭਾਲ, ਨਿਰਮਾਣ ਅਤੇ ਨਿਰਮਾਣ ਸ਼ਾਮਲ ਹਨ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਉਪਕਰਣਾਂ ਅਤੇ ਉਤਪਾਦ ਮੈਨੂਅਲ ਲਈ ਔਨਲਾਈਨ ਖੋਜਾਂ 'ਤੇ ਉਨ੍ਹਾਂ ਦੀ ਅਕਸਰ ਨਿਰਭਰਤਾ ਦੇ ਕਾਰਨ, ਜਿਸਦਾ ਹਮਲਾਵਰ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।