TamperedChef Stealer

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਖਤਰਨਾਕ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਧੋਖੇਬਾਜ਼ ਔਨਲਾਈਨ ਇਸ਼ਤਿਹਾਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਨਵੇਂ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਨੂੰ ਟੈਂਪਰਡਸ਼ੈੱਫ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਾਈਟਾਂ 'ਤੇ ਭੇਜਣ ਲਈ ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਜਿੱਥੇ ਉਨ੍ਹਾਂ ਨੂੰ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ PDF ਐਡੀਟਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਮਨਾਇਆ ਜਾਂਦਾ ਹੈ।

ਟ੍ਰੋਜਨਾਈਜ਼ਡ PDF ਐਡੀਟਰ ਨੂੰ ਲਾਲਚ ਵਜੋਂ

ਇਹ ਨਕਲੀ ਸੌਫਟਵੇਅਰ, ਜਿਸਨੂੰ ਐਪਸੂਟ ਪੀਡੀਐਫ ਐਡੀਟਰ ਵਜੋਂ ਪ੍ਰਚਾਰਿਆ ਜਾਂਦਾ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਜਾਇਜ਼ ਟੂਲ ਸਥਾਪਤ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦਾ ਹੈ। ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ, ਪੀੜਤਾਂ ਨੂੰ ਸੇਵਾ ਦੀਆਂ ਸ਼ਰਤਾਂ ਦਾ ਇੱਕ ਸਮਝੌਤਾ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਜਾਇਜ਼ਤਾ ਦਾ ਭਰਮ ਦਿੰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਪਰਦੇ ਦੇ ਪਿੱਛੇ, ਇੰਸਟਾਲਰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਸੰਪਾਦਕ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਛੱਡਣ ਲਈ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ ਜਦੋਂ ਕਿ ਨਾਲ ਹੀ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਨੂੰ ਬਦਲਦਾ ਹੈ।

ਇੰਸਟਾਲਰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਪ੍ਰੋਗਰਾਮ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਆਪਣੇ ਆਪ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇ, ਰਜਿਸਟਰੀ ਵਿੱਚ ਕਮਾਂਡ-ਲਾਈਨ ਆਰਗੂਮੈਂਟ (--cm) ਨੂੰ ਏਮਬੈਡ ਕਰਕੇ। ਇਹ ਆਰਗੂਮੈਂਟ ਮਾਲਵੇਅਰ ਨੂੰ ਵੱਖ-ਵੱਖ ਖਤਰਨਾਕ ਰੁਟੀਨਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।

ਹਮਲੇ ਦੀ ਸਮਾਂ-ਰੇਖਾ

ਜਾਂਚਾਂ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ 26 ਜੂਨ, 2025 ਨੂੰ ਸ਼ੁਰੂ ਹੋਈ ਸੀ, ਜੋ ਕਿ ਕਈ ਨਕਲੀ ਸਾਈਟਾਂ ਦੀ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਅਤੇ PDF ਸੰਪਾਦਕ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਵਾਲੇ ਘੱਟੋ-ਘੱਟ ਪੰਜ Google ਵਿਗਿਆਪਨ ਮੁਹਿੰਮਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਦੇ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਸੀ। ਸ਼ੁਰੂ ਵਿੱਚ, ਇਹ ਪ੍ਰੋਗਰਾਮ ਗੈਰ-ਖਤਰਨਾਕ ਜਾਪਦਾ ਸੀ, ਪਰ ਇਸਨੂੰ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਅੱਪਡੇਟ ਦੀ ਵਾਰ-ਵਾਰ ਜਾਂਚ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ।

21 ਅਗਸਤ, 2025 ਨੂੰ, ਲਗਭਗ ਦੋ ਮਹੀਨੇ ਬਾਅਦ, ਸੰਕਰਮਿਤ ਮਸ਼ੀਨਾਂ ਨੂੰ ਟੈਂਪਰਡਸ਼ੈੱਫ ਦੇ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਵਾਲੇ ਨਿਰਦੇਸ਼ ਮਿਲਣੇ ਸ਼ੁਰੂ ਹੋ ਗਏ। ਇਸ ਪੜਾਅਵਾਰ ਪਹੁੰਚ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਪੀੜਤਾਂ ਦੀ ਗਿਣਤੀ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।

ਟੈਂਪਰਡ ਸ਼ੈੱਫ ਦੀਆਂ ਖਤਰਨਾਕ ਯੋਗਤਾਵਾਂ

ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਟੈਂਪਰਡਸ਼ੈੱਫ ਸਥਾਪਤ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੀ ਪਛਾਣ ਕਰਕੇ ਅਤੇ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਜ਼ਬਰਦਸਤੀ ਬੰਦ ਕਰਕੇ ਖੋਜ ਕਰਦਾ ਹੈ। ਇਹ ਇਸਨੂੰ ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਕੂਕੀਜ਼ ਵਰਗੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਹੋਰ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ-ਲੇਸਡ ਐਡੀਟਰ ਕਈ ਕਮਾਂਡ-ਲਾਈਨ ਵਿਕਲਪਾਂ ਦੇ ਨਾਲ ਇੱਕ ਬੈਕਡੋਰ ਵਜੋਂ ਵੀ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਸਥਿਰਤਾ, ਸਫਾਈ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ, ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ ਦੀ ਹੇਰਾਫੇਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ।

ਪਛਾਣੇ ਗਏ ਮੁੱਖ ਕਾਰਜ:

--install: ਅਨੁਸੂਚਿਤ ਕਾਰਜ (PDFEditorScheduledTask, PDFEditorUScheduledTask) ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਚੈੱਕ ਅਤੇ ਪਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਚਾਲੂ ਕਰਨ ਲਈ ਅੱਪਡੇਟ ਅਤੇ ਬੈਕਅੱਪ ਆਰਗੂਮੈਂਟਾਂ ਨਾਲ ਚੱਲਦੇ ਹਨ।

--cleanup: ਅਣਇੰਸਟਾਲਰ ਦੁਆਰਾ ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟਸ ਨੂੰ ਮਿਟਾਉਣ, ਹੋਸਟ ਨੂੰ ਅਣਰਜਿਸਟਰ ਕਰਨ ਅਤੇ ਅਨੁਸੂਚਿਤ ਕੰਮਾਂ ਨੂੰ ਹਟਾਉਣ ਲਈ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

--ping: ਹੋਰ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ, ਰਜਿਸਟਰੀ ਨੂੰ ਬਦਲਣ ਅਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ C2 ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

--check: ਸੰਰਚਨਾ ਅੱਪਡੇਟ ਲਈ C2 ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਦਾ ਹੈ, ਬ੍ਰਾਊਜ਼ਰ ਕੁੰਜੀਆਂ ਪੜ੍ਹਦਾ ਹੈ, ਅਤੇ Chromium, OneLaunch, ਅਤੇ Wave ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਸੋਧਦਾ ਹੈ।

--reboot: --check ਦੇ ਸਮਾਨ ਪਰ ਖਾਸ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਦੇ ਸਮਰੱਥ ਵੀ ਹੈ।

ਵਿਗਿਆਪਨ ਮੁਹਿੰਮਾਂ ਦੀ ਰਣਨੀਤਕ ਦੁਰਵਰਤੋਂ

ਹਮਲਾਵਰਾਂ ਦੀ ਸਮੇਂ ਦੀ ਚੋਣ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ। ਮੁਹਿੰਮ ਲਾਂਚ ਅਤੇ ਖਤਰਨਾਕ ਐਕਟੀਵੇਸ਼ਨ ਵਿਚਕਾਰ 56-ਦਿਨਾਂ ਦੀ ਦੇਰੀ Google ਵਿਗਿਆਪਨ ਮੁਹਿੰਮਾਂ ਦੇ ਆਮ 60-ਦਿਨਾਂ ਦੇ ਜੀਵਨ ਕਾਲ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ। ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਜਾਣਬੁੱਝ ਕੇ ਇਸ਼ਤਿਹਾਰਾਂ ਨੂੰ ਆਪਣਾ ਪੂਰਾ ਕੋਰਸ ਚਲਾਉਣ ਦਿੱਤਾ, ਟੈਂਪਰਡਸ਼ੈੱਫ ਦੀਆਂ ਪੂਰੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਜਾਰੀ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਐਕਸਪੋਜ਼ਰ ਅਤੇ ਡਾਊਨਲੋਡ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕੀਤਾ।