Oprogramowanie TamperedChef

Aktorzy zagrożeń wykorzystują fałszywe instalatory podszywające się pod powszechnie używane aplikacje w globalnej kampanii reklamowej TamperedChef. Użytkownicy, którzy pobierają te fałszywe programy, nieumyślnie instalują złośliwe oprogramowanie, którego celem jest utrwalenie się w ich systemach i wdrożenie backdoora JavaScript umożliwiającego zdalny dostęp i kontrolę. W momencie zgłoszenia kampania była nadal aktywna, wykryto nowe złośliwe artefakty, a powiązana infrastruktura nadal działała.

Inżynieria społeczna i wykorzystywanie zaufania

Operatorzy TamperedChef wykorzystują techniki socjotechniczne, aby zmaksymalizować zaufanie użytkowników i uniknąć wykrycia. Ich metody obejmują:

• Korzystanie ze znanych nazw aplikacji w celu zachęcenia do pobierania
• Wdrażanie kampanii malvertisingowych w celu dotarcia do użytkowników za pośrednictwem reklam online
• Wykorzystanie taktyk optymalizacji wyszukiwarek (SEO) w celu wyświetlania się w wynikach wyszukiwania
• Podpisywanie złośliwego oprogramowania za pomocą nadużywanych certyfikatów cyfrowych, które nadają mu pozór legalności

Certyfikaty są często wydawane firmom fasadowym zarejestrowanym w Stanach Zjednoczonych, Panamie i Malezji. Wraz z unieważnianiem starszych certyfikatów, atakujący nieustannie zdobywają nowe pod różnymi nazwami firm, zachowując pozory legalności. Eksperci ds. bezpieczeństwa informacji opisali tę infrastrukturę jako wysoce zorganizowaną, umożliwiającą stałą produkcję instalatorów wyglądających na zaufane.

Rodzina złośliwego oprogramowania i kontekst kampanii

TamperedChef jest częścią większej kampanii o kryptonimie EvilAI, która wykorzystuje przynęty powiązane z narzędziami i oprogramowaniem sztucznej inteligencji (AI) do dystrybucji złośliwego oprogramowania. Chociaż nazwa TamperedChef stała się powszechnie przyjętą nazwą rodziny złośliwego oprogramowania, w niektórych raportach jest ona również określana jako BaoLoader. Nazwa TamperedChef pomaga zachować spójność publikacji dotyczących cyberbezpieczeństwa i detekcji dostawców, mimo że różni się od oryginalnego złośliwego oprogramowania TamperedChef osadzonego w złośliwej aplikacji do receptur.

Jak przebiega atak

Typowy scenariusz ataku obejmuje:

• Użytkownikom szukającym w wyszukiwarkach edytorów PDF lub instrukcji obsługi produktów wyświetlane są zatrute adresy URL lub złośliwe reklamy.
• Kliknięcie tych linków przekierowuje użytkowników do zainfekowanych domen, często zarejestrowanych za pośrednictwem NameCheap, co skłania ich do pobrania fałszywego instalatora.
• Instalator prosi użytkowników o zaakceptowanie standardowych warunków licencji, a następnie otwiera stronę z podziękowaniami w nowej karcie przeglądarki, aby podtrzymać ten podstęp.

• W tle zostaje usunięty plik XML, co powoduje utworzenie zaplanowanego zadania, które uruchamia zamaskowany tylny furtkę JavaScript.

• Tylne drzwi komunikują się z serwerami zewnętrznymi, przesyłając metadane systemowe, takie jak identyfikator sesji i identyfikator maszyny, zakodowane w szyfrowanym formacie Base64 JSON przez protokół HTTPS.

Docelowe cele kampanii pozostają niejasne. Niektóre warianty złośliwego oprogramowania ułatwiają oszustwa reklamowe, podczas gdy inne mogą być spieniężane poprzez sprzedaż dostępu cyberprzestępcom lub zbieranie poufnych danych na podziemnych forach.

Wpływ geograficzny i sektorowy

Dane telemetryczne wskazują, że najbardziej dotknięci są użytkownicy z USA, a kolejne infekcje odnotowano w Izraelu, Hiszpanii, Niemczech, Indiach i Irlandii. Najbardziej dotknięte sektory to opieka zdrowotna, budownictwo i produkcja, prawdopodobnie ze względu na częste korzystanie ze specjalistycznego sprzętu i wyszukiwanie instrukcji obsługi produktów online, co wykorzystują atakujący.