Malware TamperedChef

Agentes maliciosos estão explorando instaladores falsos que se disfarçam de aplicativos amplamente utilizados em uma campanha global de malvertising conhecida como TamperedChef. Usuários que baixam esses programas falsificados instalam inadvertidamente malware projetado para se instalar em seus sistemas e implantar uma porta dos fundos em JavaScript para acesso e controle remoto. No momento da publicação desta reportagem, a campanha permanecia ativa, com novos artefatos maliciosos detectados e a infraestrutura associada ainda operacional.

Engenharia Social e Exploração da Confiança

Os operadores por trás do TamperedChef utilizam técnicas de engenharia social para maximizar a confiança do usuário e evitar a detecção. Seus métodos incluem:

• Utilizar nomes de aplicativos familiares para atrair downloads.
• Implementar campanhas de malvertising para alcançar usuários por meio de anúncios online.
• Utilizar táticas de Otimização para Mecanismos de Busca (SEO) para aparecer nos resultados de pesquisa.
• Assinar malware com certificados digitais usados indevidamente, o que lhe confere uma aparência de legitimidade.

Os certificados são frequentemente emitidos para empresas de fachada registradas nos EUA, Panamá e Malásia. À medida que os certificados mais antigos são revogados, os atacantes adquirem continuamente novos em nomes de empresas diferentes, mantendo a aparência de legitimidade. Especialistas em segurança da informação descreveram essa infraestrutura como altamente organizada, permitindo a produção constante de instaladores com aparência confiável.

Família de malware e contexto da campanha

O TamperedChef faz parte de uma campanha maior com o codinome EvilAI, que utiliza iscas vinculadas a ferramentas e softwares de inteligência artificial (IA) para a distribuição de malware. Embora o próprio nome TamperedChef tenha se tornado amplamente utilizado para se referir à família de malware, ele também é rastreado como BaoLoader em alguns relatórios. O nome TamperedChef ajuda a manter a consistência entre as publicações de segurança cibernética e as detecções de fornecedores, mesmo que seja diferente do malware TamperedChef original incorporado em um aplicativo de receita malicioso.

Como o ataque se desenrola

Um cenário de ataque típico inclui:

• Usuários que pesquisam por editores de PDF ou manuais de produtos em mecanismos de busca são direcionados para URLs envenenadas ou anúncios maliciosos.
• Clicar nesses links redireciona os usuários para domínios maliciosos, geralmente registrados via NameCheap, induzindo-os a baixar um instalador falso.
• O instalador pede aos usuários que concordem com os termos de licenciamento padrão e, em seguida, abre uma página de agradecimento em uma nova guia do navegador para manter a farsa.

• Em segundo plano, um arquivo XML é inserido, criando uma tarefa agendada que executa um backdoor JavaScript ofuscado.

• O backdoor se comunica com servidores externos, transmitindo metadados do sistema, como ID da sessão e ID da máquina, codificados em JSON Base64 criptografado via HTTPS.

Os objetivos finais da campanha permanecem incertos. Algumas variantes de malware facilitam fraudes publicitárias, enquanto outras podem ser monetizadas por meio da venda de acesso a cibercriminosos ou pela coleta de dados sensíveis para fóruns clandestinos.

Impacto geográfico e setorial

A telemetria indica que os usuários dos EUA são os mais afetados, com infecções adicionais relatadas em Israel, Espanha, Alemanha, Índia e Irlanda. Os setores mais impactados incluem saúde, construção e manufatura, provavelmente devido à sua frequente dependência de equipamentos especializados e buscas online por manuais de produtos, que os atacantes exploram.