Programe malware TamperedChef

Actorii amenințători exploatează programe de instalare false care se deghizează în aplicații utilizate pe scară largă într-o campanie globală de publicitate malware cunoscută sub numele de TamperedChef. Utilizatorii care descarcă aceste programe contrafăcute instalează în mod accidental programe malware concepute pentru a stabili persistența pe sistemele lor și pentru a implementa un backdoor JavaScript pentru acces și control de la distanță. La momentul raportării, campania rămânea activă, fiind detectate noi artefacte malițioase, iar infrastructura asociată era încă operațională.

Inginerie socială și exploatarea încrederii

Operatorii din spatele TamperedChef utilizează tehnici de inginerie socială pentru a maximiza încrederea utilizatorilor și a evita detectarea. Metodele lor includ:

• Folosirea numelor de aplicații familiare pentru a atrage descărcări
• Implementarea campaniilor de publicitate malware pentru a ajunge la utilizatori prin intermediul reclamelor online
• Utilizarea tacticilor de optimizare pentru motoarele de căutare (SEO) pentru a apărea în rezultatele căutării
• Semnarea de programe malware cu certificate digitale abuzive, care conferă un aer de legitimitate

Certificatele sunt adesea emise companiilor-fantomă înregistrate în SUA, Panama și Malaezia. Pe măsură ce certificatele mai vechi sunt revocate, atacatorii achiziționează în mod continuu altele noi sub diferite nume de companie, menținând aparența de legitimitate. Experții în securitatea informațiilor au descris această infrastructură ca fiind extrem de organizată, permițând producția constantă de instalatori cu aspect de încredere.

Familia de programe malware și contextul campaniei

TamperedChef face parte dintr-o campanie mai amplă, cu numele de cod EvilAI, care folosește momeli legate de instrumente și software de inteligență artificială (IA) pentru distribuirea de programe malware. Deși TamperedChef în sine a devenit numele adoptat pe scară largă pentru familia de programe malware, acesta este urmărit și ca BaoLoader în unele rapoarte. Numele TamperedChef ajută la menținerea consecvenței între publicațiile de securitate cibernetică și detecțiile furnizorilor, chiar dacă diferă de malware-ul original TamperedChef încorporat într-o aplicație de rețete rău intenționate.

Cum se desfășoară atacul

Un scenariu tipic de atac include:

• Utilizatorilor care caută editoare PDF sau manuale de produse pe motoarele de căutare li se afișează adrese URL otrăvite sau reclame rău intenționate.
• Dacă dați clic pe aceste linkuri, utilizatorii sunt redirecționați către domenii pline de capcane, adesea înregistrate prin NameCheap, ceea ce îi determină să descarce un program de instalare fals.
• Programul de instalare le cere utilizatorilor să accepte termenii standard ai licenței, apoi deschide o pagină de mulțumire într-o nouă filă de browser pentru a menține stratagema.

• În fundal, un fișier XML este eliminat, creând o sarcină programată care lansează un backdoor JavaScript ofuscat.

• Backdoor-ul comunică cu servere externe, transmițând metadate de sistem, cum ar fi ID-ul sesiunii și ID-ul mașinii, codificate în JSON criptat Base64 prin HTTPS.

Obiectivele finale ale campaniei rămân neclare. Unele variante de malware facilitează frauda publicitară, în timp ce altele ar putea fi monetizate prin acces vândut infractorilor cibernetici sau prin colectarea de date sensibile pentru forumuri clandestine.

Impactul geografic și sectorial

Telemetria indică faptul că utilizatorii din SUA sunt cei mai afectați, infecții suplimentare fiind raportate în Israel, Spania, Germania, India și Irlanda. Sectoarele cele mai afectate includ asistența medicală, construcțiile și industria prelucrătoare, probabil din cauza dependenței frecvente de echipamente specializate și a căutărilor online pentru manuale de produse, pe care atacatorii le exploatează.