Zlodej TamperedChef
Výskumníci v oblasti kybernetickej bezpečnosti odhalili škodlivú kampaň, ktorá využíva klamlivé online reklamy na distribúciu nového nástroja na krádež informácií známeho ako TamperedChef. Táto operácia sa spolieha na škodlivú reklamu, ktorá presmeruje používateľov na podvodné stránky, kde sú presvedčení, aby si stiahli editor PDF súborov napadnutý trójskym koňom.
Obsah
Trojanizovaný PDF editor ako návnada
Falošný softvér, propagovaný ako AppSuite PDF Editor, oklame používateľov, aby si nainštalovali nástroj, ktorý sa javí ako legitímny. Počas inštalácie sú obetiam zobrazené zmluvné podmienky, ktoré vytvárajú ilúziu legitímnosti. V zákulisí sa však inštalátor tajne pripojí k vzdialenému serveru, aby odstránil editor a zároveň zmenil register systému Windows, aby zabezpečil jeho trvalosť.
Inštalátor zabezpečí automatické spustenie programu po reštarte vložením argumentov príkazového riadka (--cm) do registra. Tieto argumenty umožňujú malvéru prijímať pokyny na vykonávanie rôznych škodlivých rutín.
Časová os útoku
Vyšetrovania naznačujú, že kampaň sa začala 26. júna 2025, čo sa zhoduje s registráciou niekoľkých falšovaných stránok a spustením najmenej piatich reklamných kampaní Google propagujúcich editor PDF. Program sa spočiatku javil ako neškodný, ale bol navrhnutý tak, aby opakovane kontroloval aktualizácie zo vzdialeného servera.
21. augusta 2025, takmer o dva mesiace neskôr, začali infikované počítače dostávať pokyny, ktoré aktivovali škodlivý softvér TamperedChef. Tento postupný prístup umožnil útočníkom maximalizovať počet obetí pred aktiváciou malvéru.
Škodlivé schopnosti TamperedChefa
Po aktivácii TamperedChef vykoná prieskum identifikáciou nainštalovaných bezpečnostných nástrojov a násilným vypnutím webových prehliadačov. To mu poskytne prístup k citlivým údajom, ako sú uložené prihlasovacie údaje a súbory cookie.
Ďalšia analýza odhalila, že editor s obsahom malvéru funguje aj ako zadné vrátka s viacerými možnosťami príkazového riadka. Tieto umožňujú pretrvávanie, čistenie, komunikáciu so servermi príkazového riadka (C2) a manipuláciu s údajmi prehliadača.
Identifikované kľúčové funkcie:
--install: Vytvorí naplánované úlohy (PDFEditorScheduledTask, PDFEditorUScheduledTask), ktoré sa spúšťajú s argumentmi aktualizácie a zálohovania na spustenie operácií kontroly a pingu.
--cleanup: Vykoná ho odinštalačný program na vymazanie komponentov zadných vrátok, zrušenie registrácie hostiteľa a odstránenie naplánovaných úloh.
--ping: Nadviaže komunikáciu C2 na prijímanie pokynov na sťahovanie ďalšieho škodlivého softvéru, zmenu registra a exfiltráciu údajov.
--check: Kontaktuje C2 kvôli aktualizáciám konfigurácie, kradne prihlasovacie údaje, číta kľúče prehliadača a upravuje prehliadače Chromium, OneLaunch a Wave.
--reboot: Podobné ako --check, ale zároveň schopné ukončiť špecifické procesy.
Strategické zneužívanie reklamných kampaní
Pozoruhodný je časový harmonogram, ktorý si útočníci zvolili. 56-dňové oneskorenie medzi spustením kampane a aktiváciou škodlivého softvéru sa výrazne zhoduje s typickou 60-dňovou dĺžkou trvania reklamných kampaní Google. To naznačuje, že útočníci zámerne nechali reklamy bežať naplno, čím maximalizovali viditeľnosť a počet stiahnutí predtým, ako naplno využili možnosti TamperedChef.
