Злонамерни софтвер TamperedChef

Претње искоришћавају лажне инсталатере који се маскирају као широко коришћене апликације у глобалној кампањи злонамерног оглашавања познатој као TamperedChef. Корисници који преузму ове фалсификоване програме ненамерно инсталирају злонамерни софтвер дизајниран да успостави постојаност на њиховим системима и постави JavaScript бекдор за даљински приступ и контролу. У време извештавања, кампања је остала активна, са откривеним новим злонамерним артефактима и повезаном инфраструктуром која је и даље оперативна.

Социјални инжењеринг и експлоатација поверења

Оператори који стоје иза TamperedChef-а користе технике социјалног инжењеринга како би максимизирали поверење корисника и избегли откривање. Њихове методе укључују:

• Коришћење познатих имена апликација за подстицање преузимања
• Примена кампања злонамерног оглашавања како би се досегли корисници путем онлајн огласа
• Коришћење тактика оптимизације за претраживаче (SEO) за појављивање у резултатима претраге
• Потписивање злонамерног софтвера злоупотребљеним дигиталним сертификатима, који дају привид легитимности

Сертификати се често издају лажним компанијама регистрованим у САД, Панами и Малезији. Како се старији сертификати опозивају, нападачи континуирано набављају нове под различитим називима компанија, одржавајући привид легитимности. Стручњаци за информатику и безбедност описали су ову инфраструктуру као високо организовану, што омогућава сталну производњу инсталатера који делују поуздано.

Породица злонамерног софтвера и контекст кампање

ТампердШеф је део веће кампање под кодним називом EvilAI, која користи мамце повезане са алатима и софтвером вештачке интелигенције (AI) за дистрибуцију малвера. Иако је сам ТампердШеф постао широко усвојен назив за породицу малвера, у неким извештајима се прати и као BaoLoader. Назив ТампердШеф помаже у одржавању доследности у публикацијама о сајбер безбедности и детекцијама добављача, иако се разликује од оригиналног малвера ТампердШеф уграђеног у злонамерну апликацију за рецепте.

Како се напад одвија

Типичан сценарио напада укључује:

• Корисницима који траже PDF едиторе или упутства за производе на претраживачима приказују се заражени URL-ови или злонамерни огласи.
• Клик на ове линкове преусмерава кориснике на замагљене домене, често регистроване преко NameCheap-а, што их подстиче да преузму лажни инсталатер.
• Инсталатер тражи од корисника да пристану на стандардне услове лиценцирања, а затим отвара страницу захвалности у новој картици прегледача како би одржао превару.

• У позадини се испушта XML датотека, креирајући заказани задатак који покреће замаскирани JavaScript бекдор.

• Бакдоор комуницира са екстерним серверима, преносећи системске метаподатке, као што су ИД сесије и ИД машине, кодиране у шифрованом Base64 JSON формату преко HTTPS-а.

Крајњи циљеви кампање остају нејасни. Неке варијанте злонамерног софтвера олакшавају превару у оглашавању, док би друге могле бити монетизоване продајом приступа сајбер криминалцима или прикупљањем осетљивих података за подземне форуме.

Географски и секторски утицај

Телеметрија показује да су корисници у САД највише погођени, а додатне инфекције су пријављене у Израелу, Шпанији, Немачкој, Индији и Ирској. Сектори који су највише погођени укључују здравство, грађевинарство и производњу, вероватно због њиховог честог ослањања на специјализовану опрему и онлајн претраге упутстава за производе, што нападачи и злоупотребљавају.