Złodziej TamperedChef
Badacze cyberbezpieczeństwa odkryli złośliwą kampanię, która wykorzystuje zwodnicze reklamy internetowe do dystrybucji nowego programu wykradającego informacje o nazwie TamperedChef. Operacja opiera się na złośliwych reklamach, kierując użytkowników na fałszywe strony, gdzie są oni nakłaniani do pobrania zainfekowanego trojanem edytora PDF.
Spis treści
Trojanizowany edytor PDF jako przynęta
Fałszywe oprogramowanie, promowane jako AppSuite PDF Editor, oszukuje użytkowników, nakłaniając ich do zainstalowania pozornie legalnego narzędzia. Podczas instalacji ofiarom przedstawiane są warunki umowy o świadczenie usług, co stwarza iluzję legalności. Jednak w tle instalator potajemnie łączy się ze zdalnym serwerem, aby usunąć aplikację edytora, jednocześnie modyfikując rejestr systemu Windows w celu zapewnienia trwałości.
Instalator zapewnia automatyczne uruchomienie programu po ponownym uruchomieniu poprzez osadzenie argumentów wiersza poleceń (--cm) w Rejestrze. Argumenty te umożliwiają złośliwemu oprogramowaniu otrzymywanie instrukcji dotyczących wykonywania różnych złośliwych procedur.
Oś czasu ataku
Śledztwo sugeruje, że kampania rozpoczęła się 26 czerwca 2025 roku, co zbiegło się z rejestracją kilku fałszywych witryn i uruchomieniem co najmniej pięciu kampanii reklamowych Google promujących edytor PDF. Początkowo program wydawał się niegroźny, ale został zaprojektowany do wielokrotnego sprawdzania dostępności aktualizacji na serwerze zdalnym.
21 sierpnia 2025 roku, prawie dwa miesiące później, zainfekowane maszyny zaczęły otrzymywać instrukcje, które aktywowały złośliwy kod TamperedChef. To etapowe podejście pozwoliło atakującym zmaksymalizować liczbę ofiar przed aktywacją złośliwego oprogramowania.
Złośliwe możliwości TamperedChef
Po aktywacji TamperedChef przeprowadza rekonesans, identyfikując zainstalowane narzędzia bezpieczeństwa i wymuszając zamknięcie przeglądarek internetowych. Uzyskuje w ten sposób dostęp do poufnych danych, takich jak zapisane dane uwierzytelniające i pliki cookie.
Dalsza analiza ujawniła, że edytor z malware działa również jako tylne wejście z wieloma opcjami wiersza poleceń. Umożliwiają one utrwalanie, czyszczenie, komunikację z serwerami poleceń i kontroli (C2) oraz manipulowanie danymi przeglądarki.
Zidentyfikowano kluczowe funkcje:
--install: Tworzy zadania zaplanowane (PDFEditorScheduledTask, PDFEditorUScheduledTask), które są uruchamiane z argumentami aktualizacji i kopii zapasowej w celu uruchomienia operacji sprawdzania i pingowania.
--cleanup: Wykonywane przez program odinstalowujący w celu usunięcia komponentów typu backdoor, wyrejestrowania hosta i usunięcia zaplanowanych zadań.
--ping: Nawiązuje komunikację C2 w celu otrzymania instrukcji dotyczących pobierania większej ilości złośliwego oprogramowania, modyfikowania rejestru i eksfiltracji danych.
--check: Kontaktuje się z C2 w celu uzyskania aktualizacji konfiguracji, kradnie dane uwierzytelniające, odczytuje klucze przeglądarek i modyfikuje przeglądarki Chromium, OneLaunch i Wave.
--reboot: Podobne do --check, ale także umożliwiające zakończenie określonych procesów.
Strategiczne nadużywanie kampanii reklamowych
Wybór czasu przez atakujących jest godny uwagi. 56-dniowe opóźnienie między uruchomieniem kampanii a aktywacją złośliwego oprogramowania ściśle odpowiada typowemu 60-dniowemu okresowi trwania kampanii reklamowych Google. Sugeruje to, że atakujący celowo pozwolili reklamom na pełne wykorzystanie swojego potencjału, maksymalizując ich widoczność i liczbę pobrań, zanim TamperedChef w pełni wykorzystał swoje możliwości.
