Malvér TamperedChef

Útočníci zneužívajú falošné inštalátory maskované ako široko používané aplikácie v globálnej malvertisingovej kampani známej ako TamperedChef. Používatelia, ktorí si stiahnu tieto falošné programy, nechtiac nainštalujú malvér určený na trvalé nastavenie v ich systémoch a nasadenie zadných vrátok JavaScript pre vzdialený prístup a ovládanie. V čase nahlásenia bola kampaň aktívna, boli zistené nové škodlivé artefakty a súvisiaca infraštruktúra bola stále funkčná.

Sociálne inžinierstvo a zneužívanie dôvery

Prevádzkovatelia stojaci za TamperedChef využívajú techniky sociálneho inžinierstva na maximalizáciu dôvery používateľov a vyhýbanie sa odhaleniu. Medzi ich metódy patria:

• Používanie známych názvov aplikácií na prilákanie k sťahovaniu
• Nasadzovanie malvertisingových kampaní na oslovenie používateľov prostredníctvom online reklám
• Využívanie taktík optimalizácie pre vyhľadávače (SEO) na zobrazenie vo výsledkoch vyhľadávania
• Podpisovanie škodlivého softvéru zneužitými digitálnymi certifikátmi, ktoré mu dodávajú auru legitimity

Certifikáty sa často vydávajú fiktívnym spoločnostiam registrovaným v USA, Paname a Malajzii. Keďže staršie certifikáty sú rušené, útočníci neustále získavajú nové pod inými názvami spoločností, čím si zachovávajú zdanie legitímnosti. Odborníci na informačnú bezpečnosť opísali túto infraštruktúru ako vysoko organizovanú, ktorá umožňuje stabilnú produkciu dôveryhodne vyzerajúcich inštalátorov.

Rodina malvéru a kontext kampane

TamperedChef je súčasťou rozsiahlejšej kampane s kódovým označením EvilAI, ktorá využíva návnady spojené s nástrojmi a softvérom umelej inteligencie (AI) na distribúciu malvéru. Hoci sa samotný TamperedChef stal všeobecne používaným názvom pre túto rodinu malvéru, v niektorých správach je sledovaný aj ako BaoLoader. Názov TamperedChef pomáha udržiavať konzistentnosť medzi publikáciami o kybernetickej bezpečnosti a detekciami od dodávateľov, aj keď sa líši od pôvodného malvéru TamperedChef vloženého do škodlivej aplikácie na recepty.

Ako sa útok odvíja

Typický scenár útoku zahŕňa:

• Používateľom, ktorí vo vyhľadávačoch hľadajú editory PDF alebo manuály k produktom, sa zobrazujú infikované adresy URL alebo škodlivé reklamy.
• Kliknutím na tieto odkazy sa používatelia presmerujú na nastražené domény, často registrované prostredníctvom služby NameCheap, a vyzývajú ich k stiahnutiu falošného inštalátora.
• Inštalačný program požiada používateľov o súhlas so štandardnými licenčnými podmienkami a potom otvorí stránku s poďakovaním na novej karte prehliadača, aby zachoval tento trik.

• Na pozadí sa odstráni súbor XML, čím sa vytvorí naplánovaná úloha, ktorá spustí zahalené zadné vrátka v jazyku JavaScript.

• Backdoor komunikuje s externými servermi a prenáša systémové metadáta, ako napríklad ID relácie a ID počítača, zakódované v šifrovanom Base64 JSON cez HTTPS.

Konečné ciele kampane zostávajú nejasné. Niektoré varianty malvéru uľahčujú reklamné podvody, zatiaľ čo iné by sa dali speňažiť predajom prístupu kyberzločincom alebo zhromažďovaním citlivých údajov pre podzemné fóra.

Geografický a sektorový vplyv

Telemetria naznačuje, že najviac postihnutí sú používatelia v USA, pričom ďalšie infekcie boli hlásené v Izraeli, Španielsku, Nemecku, Indii a Írsku. Medzi najviac postihnuté sektory patrí zdravotníctvo, stavebníctvo a výroba, pravdepodobne kvôli ich častému spoliehaniu sa na špecializované vybavenie a online vyhľadávaniu návodov na použitie, čo útočníci zneužívajú.