TamperedChef Malware

Aktorët kërcënues po shfrytëzojnë instaluesit e rremë që maskohen si aplikacione të përdorura gjerësisht në një fushatë globale reklamimi keqdashës të njohur si TamperedChef. Përdoruesit që shkarkojnë këto programe të falsifikuara instalojnë pa dashje programe keqdashëse të dizajnuara për të vendosur qëndrueshmëri në sistemet e tyre dhe për të vendosur një derë të pasme JavaScript për akses dhe kontroll në distancë. Në kohën e raportimit, fushata mbeti aktive, me objekte të reja keqdashëse të zbuluara dhe infrastrukturë të lidhur ende funksionale.

Inxhinieri Sociale dhe Shfrytëzimi i Besimit

Operatorët që qëndrojnë pas TamperedChef përdorin teknikat e inxhinierisë sociale për të maksimizuar besimin e përdoruesit dhe për të shmangur zbulimin. Metodat e tyre përfshijnë:

• Përdorimi i emrave të njohur të aplikacioneve për të tërhequr shkarkime
• Zbatimi i fushatave të reklamimit keqdashës për të arritur përdoruesit përmes reklamave online
• Përdorimi i taktikave të Optimizimit të Motorëve të Kërkimit (SEO) për t'u shfaqur në rezultatet e kërkimit
• Nënshkrimi i programeve keqdashëse me certifikata dixhitale të abuzuara, të cilat i japin një pamje legjitimiteti.

Certifikatat shpesh u lëshohen kompanive fiktive të regjistruara në SHBA, Panama dhe Malajzi. Ndërsa certifikatat e vjetra revokohen, sulmuesit vazhdimisht fitojnë të reja nën emra të ndryshëm kompanish, duke ruajtur pamjen e legjitimitetit. Ekspertët e Infosec e kanë përshkruar këtë infrastrukturë si shumë të organizuar, duke mundësuar prodhimin e qëndrueshëm të instaluesve që duken të besueshëm.

Familja e programeve keqdashëse dhe konteksti i fushatës

TamperedChef është pjesë e një fushate më të madhe të koduar EvilAI, e cila përdor karrem të lidhur me mjete dhe softuerë të inteligjencës artificiale (IA) për shpërndarjen e programeve keqdashëse. Ndërsa vetë TamperedChef është bërë emri i përdorur gjerësisht për familjen e programeve keqdashëse, ai gjurmohet gjithashtu si BaoLoader në disa raporte. Emri TamperedChef ndihmon në ruajtjen e qëndrueshmërisë në publikimet e sigurisë kibernetike dhe zbulimet e shitësve, edhe pse ndryshon nga programi keqdashës origjinal TamperedChef i integruar në një aplikacion recetash keqdashëse.

Si zhvillohet sulmi

Një skenar tipik sulmi përfshin:

• Përdoruesve që kërkojnë redaktorë PDF ose manuale produktesh në motorët e kërkimit u shfaqen URL të helmuara ose reklama dashakeqe.
• Klikimi i këtyre lidhjeve i ridrejton përdoruesit në domene të bllokuara, shpesh të regjistruara nëpërmjet NameCheap, duke i bërë ata të shkarkojnë një instalues të rremë.
• Instaluesi u kërkon përdoruesve të bien dakord me kushtet standarde të licencimit, pastaj hap një faqe falënderimi në një skedë të re të shfletuesit për të ruajtur dredhinë.

• Në sfond, një skedar XML hidhet, duke krijuar një detyrë të planifikuar që hap një derë të pasme të paqartë të JavaScript.

• Dera e pasme komunikon me servera të jashtëm, duke transmetuar meta të dhëna të sistemit, të tilla si ID e sesionit dhe ID e makinës, të koduara në JSON të enkriptuar Base64 mbi HTTPS.

Qëllimet përfundimtare të fushatës mbeten të paqarta. Disa variante të programeve keqdashëse lehtësojnë mashtrimet me reklamat, ndërsa të tjerat mund të fitojnë para përmes aksesit të shitur te kriminelët kibernetikë ose duke mbledhur të dhëna të ndjeshme për forume nëntokësore.

Ndikimi Gjeografik dhe Sektorial

Telemetria tregon se përdoruesit amerikanë janë më të prekurit, me infeksione shtesë të raportuara në Izrael, Spanjë, Gjermani, Indi dhe Irlandë. Sektorët më të prekur përfshijnë kujdesin shëndetësor, ndërtimin dhe prodhimin, me shumë mundësi për shkak të mbështetjes së tyre të shpeshtë në pajisje të specializuara dhe kërkime online për manuale produktesh, të cilat i shfrytëzojnë sulmuesit.