TamperedChef Stealer

ஏமாற்றும் ஆன்லைன் விளம்பரங்களைப் பயன்படுத்தி, TamperedChef எனப்படும் புதிய தகவல் திருடனைப் பரப்பும் ஒரு தீங்கிழைக்கும் பிரச்சாரத்தை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்த நடவடிக்கை, பயனர்களை ட்ரோஜனேற்றப்பட்ட PDF எடிட்டரைப் பதிவிறக்கம் செய்ய வற்புறுத்தும் மோசடி தளங்களுக்குத் திருப்பி, தீங்கிழைக்கும் விளம்பரங்களை நம்பியுள்ளது.

ட்ரோஜனேற்றம் செய்யப்பட்ட PDF எடிட்டர் ஒரு கவர்ச்சியாக

AppSuite PDF Editor என விளம்பரப்படுத்தப்படும் இந்த போலி மென்பொருள், பயனர்களை ஏமாற்றி, ஒரு சட்டப்பூர்வமான கருவியாகத் தோன்றுவதை நிறுவ வைக்கிறது. நிறுவலின் போது, பாதிக்கப்பட்டவர்களுக்கு ஒரு சேவை ஒப்பந்த விதிமுறைகள் வழங்கப்படுகின்றன, இது சட்டப்பூர்வமானது என்ற மாயையை அளிக்கிறது. இருப்பினும், திரைக்குப் பின்னால், நிறுவி ரகசியமாக ஒரு தொலைதூர சேவையகத்துடன் இணைத்து எடிட்டர் பயன்பாட்டை கைவிடுகிறது, அதே நேரத்தில் நிலைத்தன்மையை நிறுவ Windows Registry ஐ மாற்றுகிறது.

மறுதொடக்கத்திற்குப் பிறகு, கட்டளை வரி வாதங்களை (--cm) பதிவேட்டில் உட்பொதிப்பதன் மூலம் நிரல் தானாகவே தொடங்குவதை நிறுவி உறுதி செய்கிறது. இந்த வாதங்கள் தீம்பொருள் பல்வேறு தீங்கிழைக்கும் நடைமுறைகளை செயல்படுத்துவதற்கான வழிமுறைகளைப் பெற உதவுகின்றன.

தாக்குதலின் காலவரிசை

விசாரணைகள், இந்தப் பிரச்சாரம் ஜூன் 26, 2025 அன்று தொடங்கியது, பல போலி தளங்களைப் பதிவு செய்ததோடு, PDF எடிட்டரை விளம்பரப்படுத்தும் குறைந்தது ஐந்து கூகிள் விளம்பர பிரச்சாரங்களும் தொடங்கப்பட்டதைத் தொடர்ந்து இது தொடங்கியது என்பதைக் குறிக்கிறது. ஆரம்பத்தில், இந்த நிரல் அச்சுறுத்தலாகத் தெரியவில்லை, ஆனால் தொலைதூர சேவையகத்திலிருந்து புதுப்பிப்புகளை மீண்டும் மீண்டும் சரிபார்க்கும் வகையில் இது வடிவமைக்கப்பட்டுள்ளது.

ஆகஸ்ட் 21, 2025 அன்று, கிட்டத்தட்ட இரண்டு மாதங்களுக்குப் பிறகு, பாதிக்கப்பட்ட இயந்திரங்கள் TamperedChef இன் தீங்கிழைக்கும் பேலோடை செயல்படுத்தும் வழிமுறைகளைப் பெறத் தொடங்கின. இந்த நிலைப்படுத்தப்பட்ட அணுகுமுறை, தீம்பொருளை இயக்குவதற்கு முன்பு பாதிக்கப்பட்டவர்களின் எண்ணிக்கையை அதிகரிக்க தாக்குபவர்களை அனுமதித்தது.

TamperedChef இன் தீங்கிழைக்கும் திறன்கள்

செயல்படுத்தப்பட்டதும், நிறுவப்பட்ட பாதுகாப்பு கருவிகளை அடையாளம் கண்டு, வலை உலாவிகளை வலுக்கட்டாயமாக மூடுவதன் மூலம் TamperedChef உளவு பார்க்கிறது. இது சேமிக்கப்பட்ட சான்றுகள் மற்றும் குக்கீகள் போன்ற முக்கியமான தரவுகளுக்கான அணுகலை வழங்குகிறது.

மேலும் பகுப்பாய்வு, தீம்பொருள் கலந்த எடிட்டர் பல கட்டளை வரி விருப்பங்களைக் கொண்ட ஒரு பின்புறக் கதவாகவும் செயல்படுகிறது என்பதைக் காட்டுகிறது. இவை நிலைத்தன்மை, சுத்தம் செய்தல், கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களுடன் தொடர்பு மற்றும் உலாவி தரவை கையாளுதல் ஆகியவற்றை செயல்படுத்துகின்றன.

அடையாளம் காணப்பட்ட முக்கிய செயல்பாடுகள்:

--install: சரிபார்ப்பு மற்றும் பிங் செயல்பாடுகளைத் தூண்டுவதற்கு புதுப்பிப்பு மற்றும் காப்புப்பிரதி வாதங்களுடன் இயங்கும் திட்டமிடப்பட்ட பணிகளை (PDFEditorScheduledTask, PDFEditorUSscheduledTask) உருவாக்குகிறது.

--சுத்தப்படுத்தல்: பின்கதவு கூறுகளை அழிக்கவும், ஹோஸ்டை பதிவுநீக்கவும், திட்டமிடப்பட்ட பணிகளை அகற்றவும் நிறுவல் நீக்கியால் செயல்படுத்தப்படுகிறது.

--ping: கூடுதல் தீம்பொருளைப் பதிவிறக்குதல், பதிவேட்டை மாற்றுதல் மற்றும் தரவை வெளியேற்றுவதற்கான வழிமுறைகளைப் பெற C2 தொடர்பை நிறுவுகிறது.

--check: உள்ளமைவு புதுப்பிப்புகளுக்காக C2 ஐத் தொடர்பு கொள்கிறது, சான்றுகளைத் திருடுகிறது, உலாவி விசைகளைப் படிக்கிறது மற்றும் Chromium, OneLaunch மற்றும் Wave உலாவிகளை மாற்றியமைக்கிறது.

--reboot: --check ஐப் போன்றது, ஆனால் குறிப்பிட்ட செயல்முறைகளை நிறுத்தும் திறன் கொண்டது.

விளம்பர பிரச்சாரங்களின் மூலோபாய துஷ்பிரயோகம்

தாக்குதல் நடத்தியவர்கள் தேர்ந்தெடுத்த நேரம் குறிப்பிடத்தக்கது. பிரச்சாரம் தொடங்குவதற்கும் தீங்கிழைக்கும் செயல்பாட்டிற்கும் இடையிலான 56 நாள் தாமதம், கூகிள் விளம்பர பிரச்சாரங்களின் வழக்கமான 60 நாள் ஆயுட்காலத்துடன் நெருக்கமாகப் பொருந்துகிறது. அச்சுறுத்தல் நடிகர்கள் வேண்டுமென்றே விளம்பரங்களை அவற்றின் முழு போக்கையும் இயக்க அனுமதித்தனர், TamperedChef இன் முழு திறன்களையும் வெளியிடுவதற்கு முன்பு வெளிப்பாடு மற்றும் பதிவிறக்கங்களை அதிகப்படுத்தினர் என்பதை இது குறிக்கிறது.