TamperedChef Stealer
Raziskovalci kibernetske varnosti so odkrili zlonamerno kampanjo, ki izkorišča zavajajoče spletne oglase za distribucijo novega programa za krajo informacij, znanega kot TamperedChef. Operacija se opira na zlonamerno oglaševanje, da bi uporabnike usmerila na goljufiva spletna mesta, kjer jih prepričajo, da prenesejo urejevalnik PDF-jev, okužen s trojanci.
Kazalo
Trojanski urejevalnik PDF-jev kot vaba
Lažna programska oprema, ki se oglašuje kot AppSuite PDF Editor, uporabnike zavede, da namestijo orodje, ki se zdi legitimno. Med namestitvijo žrtvam predstavijo pogoje storitve, kar daje iluzijo legitimnosti. Vendar pa se namestitveni program v ozadju prikrito poveže z oddaljenim strežnikom, da odstrani aplikacijo za urejanje, hkrati pa spremeni register sistema Windows, da zagotovi njeno obstojnost.
Namestitveni program zagotovi, da se program po ponovnem zagonu samodejno zažene, tako da v register vdela argumente ukazne vrstice (--cm). Ti argumenti omogočajo zlonamerni programski opremi, da prejme navodila za izvajanje različnih zlonamernih rutin.
Časovnica napada
Preiskave kažejo, da se je kampanja začela 26. junija 2025, kar sovpada z registracijo več ponarejenih spletnih mest in začetkom vsaj petih oglaševalskih akcij Google, ki so promovirale urejevalnik PDF-jev. Sprva se je program zdel nenevaren, vendar je bil zasnovan tako, da je večkrat preverjal posodobitve z oddaljenega strežnika.
21. avgusta 2025, skoraj dva meseca pozneje, so okuženi računalniki začeli prejemati navodila, ki so aktivirala zlonamerno programsko opremo TamperedChef. Ta postopni pristop je napadalcem omogočil, da so povečali število žrtev, preden so omogočili zlonamerno programsko opremo.
Zlonamerne sposobnosti TamperedChefa
Ko je TamperedChef aktiviran, izvede izvidovanje tako, da prepozna nameščena varnostna orodja in prisilno zaustavi spletne brskalnike. To mu omogoči dostop do občutljivih podatkov, kot so shranjeni podatki in piškotki.
Nadaljnja analiza je pokazala, da urejevalnik, prežet z zlonamerno programsko opremo, deluje tudi kot zadnja vrata z več možnostmi ukazne vrstice. Te omogočajo vztrajnost, čiščenje, komunikacijo s strežniki za upravljanje in nadzor (C2) ter manipulacijo podatkov brskalnika.
Ključne funkcije, opredeljene:
--install: Ustvari načrtovana opravila (PDFEditorScheduledTask, PDFEditorUScheduledTask), ki se izvajajo z argumenti posodobitve in varnostne kopije za sprožitev operacij preverjanja in pinga.
--cleanup: Izvede ga program za odstranjevanje, da izbriše komponente zadnjih vrat, odregistrira gostitelja in odstrani načrtovana opravila.
--ping: Vzpostavi komunikacijo C2 za prejemanje navodil za prenos dodatne zlonamerne programske opreme, spreminjanje registra in izvlečenje podatkov.
--check: Za posodobitve konfiguracije se obrne na C2, krade poverilnice, bere ključe brskalnika in spreminja brskalnike Chromium, OneLaunch in Wave.
--reboot: Podobno kot --check, vendar zmore tudi prekiniti določene procese.
Strateška zloraba oglaševalskih akcij
Izbira časa napadalcev je opazna. 56-dnevni zamik med začetkom kampanje in zlonamerno aktivacijo se zelo ujema s tipično 60-dnevno življenjsko dobo oglaševalskih akcij Google. To kaže, da so akterji napada namerno pustili, da so se oglasi prikazali v celoti, s čimer so povečali izpostavljenost in prenose, preden so sprostili vse zmogljivosti TamperedChefa.
