TamperedChef-skadlig programvara

Hotaktörer utnyttjar falska installationsprogram som utger sig för att vara allmänt använda applikationer i en global skadlig reklamkampanj som kallas TamperedChef. Användare som laddar ner dessa förfalskade program installerar oavsiktligt skadlig kod som är utformad för att etablera persistens på deras system och distribuera en JavaScript-bakdörr för fjärråtkomst och kontroll. Vid tidpunkten för rapporteringen var kampanjen fortfarande aktiv, med nya skadliga artefakter upptäckta och tillhörande infrastruktur fortfarande i drift.

Social ingenjörskonst och utnyttjande av förtroende

Operatörerna bakom TamperedChef använder social engineering-tekniker för att maximera användarförtroendet och undvika upptäckt. Deras metoder inkluderar:

• Använda bekanta programnamn för att locka till nedladdningar
• Implementera skadlig reklam för att nå användare via onlineannonser
• Använda sökmotoroptimeringstekniker (SEO) för att synas i sökresultaten
• Signera skadlig kod med missbrukade digitala certifikat, vilket ger en känsla av legitimitet

Certifikat utfärdas ofta till skalbolag registrerade i USA, Panama och Malaysia. Allt eftersom äldre certifikat återkallas förvärvar angriparna kontinuerligt nya under olika företagsnamn, vilket bibehåller intrycket av legitimitet. Infosec-experter har beskrivit denna infrastruktur som välorganiserad, vilket möjliggör en stadig produktion av pålitliga installatörer.

Skadlig programvaras familj och kampanjkontext

TamperedChef är en del av en större kampanj med kodnamnet EvilAI, som använder lockbete kopplade till verktyg och programvara för artificiell intelligens (AI) för distribution av skadlig kod. Även om TamperedChef i sig har blivit det allmänt använda namnet för familjen skadliga program, spåras det också som BaoLoader i vissa rapporter. Namnet TamperedChef hjälper till att upprätthålla enhetlighet mellan cybersäkerhetspublikationer och leverantörsdetekteringar, även om det skiljer sig från den ursprungliga TamperedChef-skadliga programvaran som är inbäddad i en skadlig receptapplikation.

Hur attacken utvecklas

Ett typiskt attackscenario inkluderar:

• Användare som söker efter PDF-redigerare eller produktmanualer på sökmotorer visas förgiftade webbadresser eller skadliga annonser.
• Om du klickar på dessa länkar omdirigeras användare till falska domäner, ofta registrerade via NameCheap, vilket uppmanar dem att ladda ner ett falskt installationsprogram.
• Installationsprogrammet ber användarna att godkänna standardlicensvillkoren och öppnar sedan en tacksida i en ny webbläsarflik för att upprätthålla bedrägeriet.

• I bakgrunden släpps en XML-fil, vilket skapar en schemalagd uppgift som startar en obfuskerad JavaScript-bakdörr.

• Bakdörren kommunicerar med externa servrar och överför systemmetadata, såsom sessions-ID och maskin-ID, kodade i krypterad Base64 JSON via HTTPS.

Kampanjens slutmål är fortfarande oklara. Vissa varianter av skadlig kod underlättar reklambedrägerier, medan andra kan genereras pengar genom att sälja åtkomst till cyberbrottslingar eller genom att samla in känsliga uppgifter för dolda forum.

Geografisk och sektoriell påverkan

Telemetri visar att amerikanska användare är de mest drabbade, med ytterligare infektioner rapporterade i Israel, Spanien, Tyskland, Indien och Irland. De sektorer som drabbats mest inkluderar sjukvård, bygg och tillverkning, troligen på grund av deras frekventa beroende av specialutrustning och onlinesökningar efter produktmanualer, vilket angriparna utnyttjar.