TamperedChef Stealer

మోసపూరిత ఆన్‌లైన్ ప్రకటనలను ఉపయోగించి TamperedChef అనే కొత్త సమాచార దొంగను పంపిణీ చేసే ఒక హానికరమైన ప్రచారాన్ని సైబర్ సెక్యూరిటీ పరిశోధకులు కనుగొన్నారు. ఈ ఆపరేషన్ వినియోగదారులను మోసపూరిత సైట్‌లకు మళ్లించడానికి మాల్వర్టైజింగ్‌పై ఆధారపడి ఉంటుంది, అక్కడ వారు ట్రోజనైజ్డ్ PDF ఎడిటర్‌ను డౌన్‌లోడ్ చేసుకోవడానికి ఒప్పించబడతారు.

ట్రోజనైజ్డ్ PDF ఎడిటర్‌ను ఎరగా

AppSuite PDF ఎడిటర్‌గా ప్రచారం చేయబడిన ఈ నకిలీ సాఫ్ట్‌వేర్, చట్టబద్ధమైన సాధనంగా కనిపించే దాన్ని ఇన్‌స్టాల్ చేయమని వినియోగదారులను మోసం చేస్తుంది. ఇన్‌స్టాలేషన్ సమయంలో, బాధితులకు సేవా నిబంధనల ఒప్పందం అందించబడుతుంది, ఇది చట్టబద్ధత యొక్క భ్రాంతిని ఇస్తుంది. అయితే, తెరవెనుక, ఇన్‌స్టాలర్ రహస్యంగా రిమోట్ సర్వర్‌కు కనెక్ట్ అయి ఎడిటర్ అప్లికేషన్‌ను వదిలివేస్తుంది, అదే సమయంలో స్థిరత్వాన్ని స్థాపించడానికి Windows రిజిస్ట్రీని మారుస్తుంది.

ఇన్‌స్టాలర్ రీబూట్ చేసిన తర్వాత ప్రోగ్రామ్ స్వయంచాలకంగా ప్రారంభమవుతుందని నిర్ధారిస్తుంది, కమాండ్-లైన్ ఆర్గ్యుమెంట్‌లను (--cm) రిజిస్ట్రీలో పొందుపరుస్తుంది. ఈ ఆర్గ్యుమెంట్‌లు మాల్వేర్ వివిధ హానికరమైన రొటీన్‌లను అమలు చేయడానికి సూచనలను స్వీకరించడానికి వీలు కల్పిస్తాయి.

దాడి యొక్క కాలక్రమం

దర్యాప్తుల ప్రకారం, ఈ ప్రచారం జూన్ 26, 2025న ప్రారంభమైందని, అనేక నకిలీ సైట్‌ల నమోదు మరియు PDF ఎడిటర్‌ను ప్రమోట్ చేస్తూ కనీసం ఐదు Google ప్రకటన ప్రచారాలను ప్రారంభించడంతో ఇది జరిగిందని తెలుస్తోంది. ప్రారంభంలో, ఈ ప్రోగ్రామ్ ప్రమాదకరం కానిదిగా కనిపించింది, కానీ ఇది రిమోట్ సర్వర్ నుండి నవీకరణల కోసం పదేపదే తనిఖీ చేయడానికి రూపొందించబడింది.

దాదాపు రెండు నెలల తర్వాత, ఆగస్టు 21, 2025న, సోకిన యంత్రాలు TamperedChef యొక్క హానికరమైన పేలోడ్‌ను సక్రియం చేసే సూచనలను స్వీకరించడం ప్రారంభించాయి. ఈ దశలవారీ విధానం దాడి చేసేవారికి మాల్వేర్‌ను ప్రారంభించే ముందు బాధితుల సంఖ్యను పెంచడానికి అనుమతించింది.

TamperedChef యొక్క హానికరమైన సామర్థ్యాలు

యాక్టివేట్ అయిన తర్వాత, TamperedChef ఇన్‌స్టాల్ చేయబడిన భద్రతా సాధనాలను గుర్తించడం ద్వారా మరియు వెబ్ బ్రౌజర్‌లను బలవంతంగా షట్ డౌన్ చేయడం ద్వారా నిఘా నిర్వహిస్తుంది. ఇది నిల్వ చేసిన ఆధారాలు మరియు కుక్కీలు వంటి సున్నితమైన డేటాను యాక్సెస్ చేయడానికి అనుమతిస్తుంది.

మరింత విశ్లేషణలో మాల్వేర్-లేస్డ్ ఎడిటర్ బహుళ కమాండ్-లైన్ ఎంపికలతో బ్యాక్‌డోర్‌గా కూడా పనిచేస్తుందని వెల్లడించింది. ఇవి నిలకడ, శుభ్రపరచడం, కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లతో కమ్యూనికేషన్ మరియు బ్రౌజర్ డేటాను మార్చడాన్ని ప్రారంభిస్తాయి.

గుర్తించబడిన కీలక విధులు:

--install: చెక్ మరియు పింగ్ ఆపరేషన్లను ట్రిగ్గర్ చేయడానికి నవీకరణ మరియు బ్యాకప్ ఆర్గ్యుమెంట్‌లతో అమలు అయ్యే షెడ్యూల్డ్ టాస్క్‌లను (PDFEditorScheduledTask, PDFEditorUSscheduledTask) సృష్టిస్తుంది.

--క్లీనప్: బ్యాక్‌డోర్ భాగాలను తొలగించడానికి, హోస్ట్‌ను అన్‌రిజిస్టర్ చేయడానికి మరియు షెడ్యూల్ చేసిన పనులను తొలగించడానికి అన్‌ఇన్‌స్టాలర్ ద్వారా అమలు చేయబడుతుంది.

--పింగ్: మరిన్ని మాల్వేర్‌లను డౌన్‌లోడ్ చేయడం, రిజిస్ట్రీని మార్చడం మరియు డేటాను బహిష్కరించడం కోసం సూచనలను స్వీకరించడానికి C2 కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది.

--check: కాన్ఫిగరేషన్ నవీకరణల కోసం C2 ని సంప్రదిస్తుంది, ఆధారాలను దొంగిలిస్తుంది, బ్రౌజర్ కీలను చదువుతుంది మరియు Chromium, OneLaunch మరియు Wave బ్రౌజర్‌లను సవరిస్తుంది.

--reboot: --check ను పోలి ఉంటుంది కానీ నిర్దిష్ట ప్రక్రియలను ముగించగల సామర్థ్యం కూడా కలిగి ఉంటుంది.

ప్రకటన ప్రచారాల వ్యూహాత్మక దుర్వినియోగం

దాడి చేసేవారు ఎంచుకున్న సమయం గమనార్హం. ప్రచార ప్రారంభానికి మరియు హానికరమైన యాక్టివేషన్‌కు మధ్య 56 రోజుల ఆలస్యం Google ప్రకటన ప్రచారాల సాధారణ 60 రోజుల జీవితకాలానికి దగ్గరగా సరిపోతుంది. దీని అర్థం బెదిరింపు నటులు ఉద్దేశపూర్వకంగా ప్రకటనలను వారి పూర్తి కోర్సును అమలు చేయడానికి అనుమతించారని, TamperedChef యొక్క పూర్తి సామర్థ్యాలను విడుదల చేయడానికి ముందు ఎక్స్‌పోజర్ మరియు డౌన్‌లోడ్‌లను పెంచారని సూచిస్తుంది.