Zlonamerna programska oprema TamperedChef
Grožnje izkoriščajo lažne namestitvene programe, ki se maskirajo kot široko uporabljene aplikacije, v globalni kampanji zlonamernega oglaševanja, znani kot TamperedChef. Uporabniki, ki prenesejo te ponarejene programe, nenamerno namestijo zlonamerno programsko opremo, zasnovano tako, da v svojih sistemih vzpostavi vztrajnost in namesti JavaScript zadnja vrata za oddaljeni dostop in nadzor. V času poročanja je kampanja ostala aktivna, odkriti so bili novi zlonamerni artefakti, povezana infrastruktura pa je še vedno delovala.
Kazalo
Socialni inženiring in izkoriščanje zaupanja
Operaterji, ki stojijo za TamperedChefom, uporabljajo tehnike socialnega inženiringa za maksimiranje zaupanja uporabnikov in izogibanje odkrivanju. Njihove metode vključujejo:
- Uporaba znanih imen aplikacij za privabljanje prenosov
- Uporaba zlonamernih oglaševalskih akcij za doseganje uporabnikov prek spletnih oglasov
- Uporaba taktik optimizacije za iskalnike (SEO) za prikaz v rezultatih iskanja
- Podpisovanje zlonamerne programske opreme z zlorabljenimi digitalnimi potrdili, ki dajejo občutek legitimnosti
Potrdila se pogosto izdajo navideznim podjetjem, registriranim v ZDA, Panami in Maleziji. Ko se starejša potrdila prekličeta, napadalci nenehno pridobivajo nova pod različnimi imeni podjetij in s tem ohranjajo videz legitimnosti. Strokovnjaki za informacijsko varnost so to infrastrukturo opisali kot visoko organizirano, ki omogoča stalno proizvodnjo zaupanja vrednih monterjev.
Družina zlonamerne programske opreme in kontekst kampanje
TamperedChef je del večje kampanje s kodnim imenom EvilAI, ki za distribucijo zlonamerne programske opreme uporablja vabe, povezane z orodji in programsko opremo umetne inteligence (UI). Čeprav je TamperedChef postal splošno sprejeto ime za družino zlonamerne programske opreme, ga v nekaterih poročilih spremljajo tudi kot BaoLoader. Ime TamperedChef pomaga ohranjati doslednost med publikacijami o kibernetski varnosti in zaznavami prodajalcev, čeprav se razlikuje od originalne zlonamerne programske opreme TamperedChef, vdelane v zlonamerno aplikacijo za recepte.
Kako se napad odvija
Tipičen scenarij napada vključuje:
- Uporabnikom, ki v iskalnikih iščejo urejevalnike PDF-jev ali priročnike za izdelke, se prikazujejo zastrupljeni URL-ji ali zlonamerni oglasi.
- S klikom na te povezave se uporabniki preusmerijo na domene z zaskočenimi ovirami, pogosto registrirane prek NameCheap, in jih spodbudijo k prenosu lažnega namestitvenega programa.
- Namestitveni program prosi uporabnike, da se strinjajo s standardnimi licenčnimi pogoji, nato pa v novem zavihku brskalnika odpre stran z zahvalo, da ohrani zvijačo.
- V ozadju se spusti datoteka XML, kar ustvari načrtovano opravilo, ki zažene prikrita zadnja vrata JavaScript.
- Zadnja vrata komunicirajo z zunanjimi strežniki in prenašajo sistemske metapodatke, kot sta ID seje in ID naprave, kodirane v šifriranem Base64 JSON prek HTTPS.
Končni cilji kampanje ostajajo nejasni. Nekatere različice zlonamerne programske opreme omogočajo oglaševalske goljufije, druge pa bi lahko monetizirali s prodajo dostopa kibernetskim kriminalcem ali z zbiranjem občutljivih podatkov za podzemne forume.
Geografski in sektorski vpliv
Telemetrija kaže, da so najbolj prizadeti uporabniki v ZDA, dodatne okužbe pa so zabeležili tudi v Izraelu, Španiji, Nemčiji, Indiji in na Irskem. Med najbolj prizadetimi sektorji so zdravstvo, gradbeništvo in proizvodnja, verjetno zaradi njihove pogoste odvisnosti od specializirane opreme in spletnega iskanja priročnikov za izdelke, kar napadalci izkoriščajo.
