Вредоносное ПО TamperedChef
Злоумышленники используют поддельные установщики, маскирующиеся под широко распространённые приложения, в рамках глобальной кампании вредоносной рекламы, известной как TamperedChef. Пользователи, загружающие эти поддельные программы, непреднамеренно устанавливают вредоносное ПО, предназначенное для обеспечения постоянного присутствия в их системах и использования бэкдора JavaScript для удалённого доступа и управления. На момент составления отчёта кампания оставалась активной: были обнаружены новые вредоносные артефакты, а связанная с ними инфраструктура продолжала функционировать.
Оглавление
Социальная инженерия и эксплуатация доверия
Операторы TamperedChef используют методы социальной инженерии, чтобы максимально повысить доверие пользователей и избежать обнаружения. Их методы включают:
- Использование знакомых названий приложений для стимулирования загрузок
- Развертывание вредоносных рекламных кампаний для охвата пользователей с помощью онлайн-рекламы
- Использование тактики поисковой оптимизации (SEO) для появления в результатах поиска
- Подписание вредоносного ПО с помощью поддельных цифровых сертификатов, создающих видимость легитимности
Сертификаты часто выдаются компаниям-пустышкам, зарегистрированным в США, Панаме и Малайзии. По мере отзыва старых сертификатов злоумышленники постоянно получают новые под названиями других компаний, сохраняя видимость легитимности. Эксперты по информационной безопасности описывают эту инфраструктуру как высокоорганизованную, что позволяет стабильно создавать установщики, выглядящие как настоящие.
Семейство вредоносных программ и контекст кампании
TamperedChef является частью более масштабной кампании под кодовым названием EvilAI, которая использует приманки, связанные с инструментами и программным обеспечением искусственного интеллекта (ИИ), для распространения вредоносного ПО. Хотя само название TamperedChef стало широко распространённым названием для этого семейства вредоносных программ, в некоторых отчётах оно также упоминается как BaoLoader. Название TamperedChef помогает поддерживать единообразие в публикациях по кибербезопасности и данных об обнаружении, предоставляемых поставщиками, хотя оно и отличается от оригинального вредоносного ПО TamperedChef, встроенного во вредоносное приложение с рецептами.
Как разворачивается атака
Типичный сценарий атаки включает в себя:
- Пользователям, ищущим PDF-редакторы или руководства по продуктам в поисковых системах, показываются зараженные URL-адреса или вредоносная реклама.
- При нажатии на эти ссылки пользователи перенаправляются на домены-ловушки, часто зарегистрированные через NameCheap, что побуждает их загрузить поддельный установщик.
- Установщик просит пользователей согласиться со стандартными условиями лицензирования, а затем открывает страницу с благодарностями в новой вкладке браузера, чтобы сохранить обман.
- В фоновом режиме запускается XML-файл, который создает запланированную задачу, запускающую замаскированный бэкдор JavaScript.
- Бэкдор взаимодействует с внешними серверами, передавая системные метаданные, такие как идентификатор сеанса и идентификатор машины, закодированные в зашифрованном формате Base64 JSON по протоколу HTTPS.
Конечные цели кампании остаются неясными. Некоторые варианты вредоносного ПО способствуют мошенничеству с рекламой, в то время как другие могут монетизироваться через продажу доступа киберпреступникам или сбор конфиденциальных данных для подпольных форумов.
Географическое и отраслевое влияние
Телеметрия показывает, что больше всего пострадали пользователи из США, а также зафиксированы случаи заражения в Израиле, Испании, Германии, Индии и Ирландии. Наиболее пострадавшие отрасли включают здравоохранение, строительство и производство, что, вероятно, связано с их частой зависимостью от специализированного оборудования и поиском руководств по продуктам в интернете, чем и пользуются злоумышленники.
